प्लेटफ़ॉर्म
nodejs
घटक
electron
में ठीक किया गया
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34771 Electron में एक उपयोग-बाद-मुक्त भेद्यता है, जहाँ मेमोरी को मुक्त करने के बाद उसे एक्सेस करने का प्रयास किया जाता है। यह भेद्यता पूर्णस्क्रीन, पॉइंटर-लॉक या कीबोर्ड-लॉक अनुमति अनुरोधों को संभालने के दौरान हो सकती है। प्रभावित संस्करण 38.0.0 से लेकर 41.0.0-beta.8 तक हैं। इस समस्या को Electron के संस्करण 38.8.6 में ठीक किया गया है।
यह भेद्यता हमलावर को Electron एप्लिकेशन को क्रैश करने या मेमोरी भ्रष्टाचार का कारण बनने की अनुमति दे सकती है। मेमोरी भ्रष्टाचार के परिणामस्वरूप, हमलावर एप्लिकेशन के नियंत्रण को प्राप्त कर सकता है या संवेदनशील जानकारी तक पहुंच सकता है। यह विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो उच्च विशेषाधिकारों के साथ चलते हैं या संवेदनशील डेटा को संभालते हैं। चूंकि Electron का उपयोग कई क्रॉस-प्लेटफ़ॉर्म डेस्कटॉप अनुप्रयोगों में किया जाता है, इसलिए इस भेद्यता का व्यापक प्रभाव हो सकता है। यदि हमलावर सफलतापूर्वक मेमोरी को दूषित करने में सक्षम है, तो वे एप्लिकेशन के व्यवहार को बदल सकते हैं, जिससे डेटा हानि या सिस्टम समझौता हो सकता है।
CVE-2026-34771 को अभी तक सक्रिय रूप से शोषण करने के कोई संकेत नहीं मिले हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण किया जा सकता है। यह भेद्यता KEV (Know Exploited Vulnerability) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं मिले हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, PoC जल्द ही उपलब्ध हो सकते हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Applications built using Electron that register asynchronous session.setPermissionRequestHandler() are at risk. This includes a wide range of desktop applications, particularly those that handle user permissions or interact with system resources. Developers using Electron for cross-platform development, especially those relying on third-party libraries or components that utilize permission request handlers, should prioritize patching.
• linux / server: Monitor Electron application logs for crashes or segmentation faults. Use ps aux | grep electron to identify running Electron processes and check their resource usage for anomalies.
journalctl -u electron -f | grep -i crash• windows / supply-chain: Use Process Monitor to observe Electron processes and identify any unusual memory access patterns or crashes. Check Autoruns for suspicious Electron-related entries.
Get-Process -Name electron | Select-Object Id, CPU, WorkingSet• generic web: If the Electron application interacts with a web server, examine web server access logs for unusual requests that might trigger the permission request handler.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34771 के लिए प्राथमिक शमन उपाय Electron को संस्करण 38.8.6 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एप्लिकेशन कोड की समीक्षा करें ताकि यह सुनिश्चित किया जा सके कि अनुमति अनुरोधों को ठीक से संभाला जा रहा है और कोई भी लंबित अनुरोध हैंडलर को विंडो बंद होने या फ्रेम नेविगेट करने के बाद एक्सेस नहीं किया जा रहा है। वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके भी अनुमति अनुरोधों को मॉनिटर किया जा सकता है और संदिग्ध गतिविधि को ब्लॉक किया जा सकता है। अपडेट करने के बाद, यह सत्यापित करें कि एप्लिकेशन सामान्य रूप से काम कर रहा है और कोई मेमोरी लीक या क्रैश नहीं हो रहा है।
Electron के उस संस्करण में अपडेट करें जिसमें पैच शामिल है, जैसे 38.8.6, 39.8.0, 40.7.0 या 41.0.0-beta.8। यह अपडेट फुलस्क्रीन, पॉइंटर-लॉक या कीबोर्ड-लॉक अनुमति अनुरोधों को संभालते समय हो सकने वाली उपयोग-बाद-मुक्त (use-after-free) समस्या को ठीक करता है, जिससे संभावित क्रैश या मेमोरी भ्रष्टाचार को रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34771 Electron में एक उपयोग-बाद-मुक्त भेद्यता है जो पूर्णस्क्रीन, पॉइंटर-लॉक या कीबोर्ड-लॉक अनुमति अनुरोधों को संभालने के दौरान मेमोरी भ्रष्टाचार का कारण बन सकती है।
यदि आप Electron के संस्करण 38.0.0 से लेकर 41.0.0-beta.8 तक का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Electron को संस्करण 38.8.6 या बाद के संस्करण में अपडेट करें।
CVE-2026-34771 के सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण किया जा सकता है।
आप आधिकारिक Electron सलाहकार को यहां पा सकते हैं: [Electron Security Advisories](https://github.com/electron/electron/security/advisories)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।