प्लेटफ़ॉर्म
nodejs
घटक
electron
में ठीक किया गया
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34772 एक Use-After-Free भेद्यता है जो Electron को प्रभावित करती है। इस भेद्यता के कारण, डाउनलोड की अनुमति देने वाले और प्रोग्रामेटिक रूप से सेशन को नष्ट करने वाले ऐप्स क्रैश या मेमोरी करप्शन का शिकार हो सकते हैं। यह समस्या तब होती है जब एक नेटिव सेव-फाइल डायलॉग खुला रहता है और सेशन को बंद कर दिया जाता है। यह भेद्यता Electron के 38.8.6 और बाद के संस्करणों में ठीक कर दी गई है।
CVE-2026-34772 उन Electron अनुप्रयोगों को प्रभावित करता है जो डाउनलोड की अनुमति देते हैं और प्रोग्रामेटिक रूप से उपयोगकर्ता सत्रों को नष्ट कर देते हैं। यह भेद्यता मुक्त किए गए मेमोरी (use-after-free) के संभावित उपयोग में निहित है। यदि डाउनलोड के लिए देशी फ़ाइल सहेजने वाले संवाद बॉक्स खुला होने के दौरान सत्र नष्ट हो जाता है, तो संवाद बॉक्स को बंद करने से पहले से मुक्त मेमोरी तक पहुंच हो सकती है, जिससे एप्लिकेशन क्रैश या मेमोरी भ्रष्टाचार हो सकता है। यह भेद्यता उन अनुप्रयोगों के लिए विशेष रूप से प्रासंगिक है जो फ़ाइल डाउनलोड का प्रबंधन करते हैं और गतिशील सत्र समाप्ति तंत्र को लागू करते हैं। CVSS गंभीरता स्कोर 5.8 है, जो मध्यम जोखिम का संकेत देता है।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को Electron एप्लिकेशन चल रहे होने के दौरान डाउनलोड शुरू करना होगा और सहेजने वाले संवाद बॉक्स के पूरा होने से पहले उपयोगकर्ता सत्र को एक साथ ट्रिगर करना होगा। यह सावधानीपूर्वक ऑर्केस्ट्रेटेड घटनाओं की एक श्रृंखला के माध्यम से प्राप्त किया जा सकता है, जैसे कि उपयोगकर्ता क्रिया जो डाउनलोड चल रहे होने के दौरान सत्र समाप्ति को ट्रिगर करती है। शोषण की कठिनाई एप्लिकेशन के आर्किटेक्चर और सत्रों और डाउनलोड के प्रबंधन के तरीके पर निर्भर करती है। सफल शोषण से मनमाना कोड निष्पादन या सेवा से इनकार हो सकता है।
Applications built with Electron that allow downloads and programmatically destroy user sessions are at risk. This includes desktop applications, progressive web apps (PWAs), and any Electron-based software that handles file downloads and user authentication. Specifically, applications with poorly implemented session management or download handling are particularly vulnerable.
• windows / supply-chain: Monitor Electron processes (Get-Process electron) for unusual memory usage patterns. Check scheduled tasks for suspicious scripts that might be manipulating Electron sessions.
Get-Process electron | Select-Object Name, CPU, WorkingSet• linux / server: Use journalctl to filter for Electron application crashes or errors related to memory access.
journalctl -u electron -g 'memory access' --since '1 hour'• generic web: Examine web application logs for errors related to Electron components or download processes. Check for unusual network requests associated with Electron applications.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34772 के लिए प्राथमिक शमन डाउनलोड सहेजने वाले संवाद बॉक्स सक्रिय होने के दौरान उपयोगकर्ता सत्रों को नष्ट करने से बचना है। यदि डाउनलोड चल रहा है, तो सत्र को बंद करने से पहले डाउनलोड को रद्द करने की सिफारिश की जाती है। Electron संस्करण 38.8.6 में अपग्रेड करना अंतिम समाधान है, क्योंकि इस संस्करण में इस भेद्यता के लिए फिक्स शामिल है। इसके अतिरिक्त, डाउनलोड के दौरान प्रारंभिक सत्र समाप्ति के किसी भी उदाहरण की पहचान करने और ठीक करने के लिए एप्लिकेशन कोड की समीक्षा करना महत्वपूर्ण है। गहन परीक्षण इस प्रकार की समस्या का पता लगाने और रोकने में मदद कर सकता है।
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8. Asegúrese de probar exhaustivamente su aplicación después de la actualización para garantizar la compatibilidad. Si no es posible actualizar inmediatamente, considere implementar medidas de mitigación para evitar la destrucción de sesiones mientras se abren diálogos de guardado de archivos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Electron HTML, CSS और JavaScript जैसी वेब तकनीकों का उपयोग करके क्रॉस-प्लेटफ़ॉर्म डेस्कटॉप एप्लिकेशन बनाने के लिए एक फ्रेमवर्क है।
यह भेद्यता एप्लिकेशन को क्रैश कर सकती है या अप्रत्याशित व्यवहार का कारण बन सकती है। अधिक गंभीर मामलों में, यह हमलावर को उपयोगकर्ता के सिस्टम पर दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति दे सकती है।
इस भेद्यता के लिए फिक्स शामिल होने वाले संस्करण 38.8.6 या बाद के संस्करण में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है।
एक अस्थायी समाधान के रूप में, आप डाउनलोड चल रहे होने के दौरान सत्रों को नष्ट करने से बच सकते हैं या सत्र को बंद करने से पहले लंबित डाउनलोड को रद्द कर सकते हैं।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस और Electron दस्तावेज़ में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।