प्लेटफ़ॉर्म
nodejs
घटक
electron
में ठीक किया गया
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34770, electron के powerMonitor मॉड्यूल में एक Use-After-Free भेद्यता है। इस भेद्यता के कारण, powerMonitor मॉड्यूल का उपयोग करने वाले ऐप्स क्रैश या मेमोरी करप्शन का शिकार हो सकते हैं। यह समस्या उन सभी ऐप्स को प्रभावित करती है जो powerMonitor इवेंट्स (जैसे suspend, resume, lock-screen) तक पहुंचते हैं। यह भेद्यता electron के संस्करण 38.8.6 में ठीक की गई है।
इलेक्ट्रॉन में CVE-2026-34770 38.8.6, 39.8.1, 40.8.0 और 41.0.0-beta.8 से पहले के संस्करणों को प्रभावित करता है, और powerMonitor मॉड्यूल का उपयोग करते समय 'use-after-free' भेद्यता प्रस्तुत करता है। ऐसा इसलिए होता है क्योंकि मूल PowerMonitor ऑब्जेक्ट कचरा संग्रहण के बाद, संबंधित ऑपरेटिंग सिस्टम-स्तरीय संसाधन (Windows पर एक संदेश विंडो, macOS पर एक शटडाउन हैंडलर) लटकते संदर्भों को बनाए रखते हैं। एक बाद का सत्र-परिवर्तन घटना (Windows) या सिस्टम शटडाउन (macOS) अप्रत्याशित व्यवहार को ट्रिगर कर सकता है, जिससे एक हमलावर को मनमाना कोड निष्पादित करने या सेवा से इनकार करने की अनुमति मिल सकती है। गंभीरता को CVSS 7.0 के रूप में रेट किया गया है, जो एक मध्यम जोखिम दर्शाता है।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को PowerMonitor ऑब्जेक्ट को कचरा संग्रहण के बाद सत्र-परिवर्तन घटना (Windows पर) या सिस्टम शटडाउन (macOS पर) को ट्रिगर करने में सक्षम होना चाहिए। यह ऑपरेटिंग सिस्टम में हेरफेर करके या इलेक्ट्रॉन एप्लिकेशन के भीतर दुर्भावनापूर्ण कोड निष्पादित करके प्राप्त किया जा सकता है। शोषण की कठिनाई हमलावर की सिस्टम इवेंट फ्लो को नियंत्रित करने की क्षमता पर निर्भर करती है। हालांकि शोषण जटिल हो सकता है, संभावित प्रभाव (मनमाना कोड निष्पादन) फिक्स लागू करने को उचित ठहराता है।
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान इलेक्ट्रॉन को संस्करण 38.8.6 या उच्चतर, 39.8.1 या उच्चतर, 40.8.0 या उच्चतर, या 41.0.0-beta.8 या उच्चतर में अपग्रेड करना है। इन संस्करणों में फिक्स शामिल हैं जो लटकते संदर्भों को समाप्त करते हैं और उपयोग के बाद रिलीज को रोकते हैं। इलेक्ट्रॉन का उपयोग करने वाले डेवलपर्स को इस जोखिम को कम करने के लिए जल्द से जल्द अपने एप्लिकेशन को अपडेट करने की दृढ़ता से सलाह दी जाती है। इसके अतिरिक्त, अपने कोड की समीक्षा करें ताकि यह सुनिश्चित हो सके कि powerMonitor मॉड्यूल का उपयोग सुरक्षित रूप से किया जा रहा है और अनावश्यक संदर्भ नहीं बनाए जा रहे हैं। इलेक्ट्रॉन एप्लिकेशन सुरक्षा को बनाए रखने के लिए सुरक्षा पैच लागू करना एक आवश्यक अभ्यास है।
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.1, 40.8.0 o 41.0.0-beta.8. Esta actualización aborda el problema de uso posterior a la liberación al gestionar correctamente los recursos del sistema operativo después de que se recolecten mediante el recolector de basura.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक त्रुटि है जो तब होती है जब कोई प्रोग्राम पहले ही जारी किए जा चुके मेमोरी तक पहुंचने का प्रयास करता है, जिससे अप्रत्याशित व्यवहार या सुरक्षा भेद्यता हो सकती है।
यह एक इलेक्ट्रॉन मॉड्यूल है जो एप्लिकेशन को सिस्टम पावर-संबंधित घटनाओं, जैसे बैटरी परिवर्तन या सिस्टम शटडाउन की निगरानी और प्रतिक्रिया करने की अनुमति देता है।
आप अपने टर्मिनल में electron --version चलाकर इलेक्ट्रॉन संस्करण की जांच कर सकते हैं।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अस्थायी शमन उपायों पर विचार करें, जैसे कि powerMonitor मॉड्यूल के उपयोग को सीमित करना या जारी मेमोरी तक पहुंच को रोकने के लिए अतिरिक्त जांच को लागू करना।
हाँ, ऐसे स्थैतिक और गतिशील विश्लेषण उपकरण हैं जो इलेक्ट्रॉन कोड में 'use-after-free' भेद्यता का पता लगाने में मदद कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।