प्लेटफ़ॉर्म
nodejs
घटक
electron
में ठीक किया गया
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34773 विंडोज पर इलेक्ट्रॉन में मौजूद एक भेद्यता है, जहां app.setAsDefaultProtocolClient(protocol) रजिस्ट्री में लिखने से पहले प्रोटोकॉल नाम को मान्य नहीं करता है। इस भेद्यता का फायदा उठाकर, हमलावर मनमाने सबकुंजी में लिख सकता है, जिससे मौजूदा प्रोटोकॉल हैंडलर को हाईजैक किया जा सकता है। यह समस्या इलेक्ट्रॉन के 38.8.6 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 38.8.6 में ठीक कर दिया गया है।
इलेक्ट्रॉन में CVE-2026-34773 विंडोज पर app.setAsDefaultProtocolClient(protocol) का उपयोग करने वाले अनुप्रयोगों को प्रभावित करता है। समस्या यह है कि फ़ंक्शन विंडोज रजिस्ट्री में लिखने से पहले प्रोटोकॉल नाम को ठीक से मान्य नहीं करता है। यह एक हमलावर को अनुमति देता है, यदि एप्लिकेशन अविश्वसनीय स्रोतों से प्रोटोकॉल नाम स्वीकार करता है, तो HKCU\Software\Classes\ के नीचे किसी भी सबकी में लिखने की अनुमति देता है। यह लेखन मौजूदा प्रोटोकॉल हैंडलर को हाईजैक करने की अनुमति दे सकता है, जिससे दुर्भावनापूर्ण कोड का निष्पादन हो सकता है या किसी विशिष्ट प्रोटोकॉल के साथ लिंक खोलने का प्रयास करते समय उपयोगकर्ता को अवांछित वेबसाइटों पर रीडायरेक्ट किया जा सकता है। यह भेद्यता केवल तभी प्रासंगिक है जब प्रोटोकॉल नाम बाहरी या अविश्वसनीय इनपुट से प्राप्त होता है।
एक हमलावर एक दुर्भावनापूर्ण लिंक बनाकर इस भेद्यता का फायदा उठा सकता है जो एक विशेष रूप से डिज़ाइन किए गए प्रोटोकॉल नाम का उपयोग करता है। यदि एक कमजोर एप्लिकेशन इस प्रोटोकॉल को डिफ़ॉल्ट क्लाइंट के रूप में पंजीकृत करने का प्रयास करता है, तो हमलावर विंडोज रजिस्ट्री में लिख सकता है, जिससे संभावित रूप से सिस्टम कॉन्फ़िगरेशन से समझौता हो सकता है। शोषण की सफलता हमलावर की एप्लिकेशन को एक अप्रमाणित प्रोटोकॉल नाम का उपयोग करने के लिए धोखा देने की क्षमता पर निर्भर करती है। शोषण की जटिलता एप्लिकेशन के आर्किटेक्चर और मौजूदा सुरक्षा उपायों के आधार पर भिन्न हो सकती है।
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34773 को कम करने का तरीका इलेक्ट्रॉन को संस्करण 38.8.6 या उच्चतर में अपडेट करना है। इस संस्करण में विंडोज रजिस्ट्री में लिखने से पहले प्रोटोकॉल नाम को ठीक से मान्य करने की क्षमता शामिल है। यदि तत्काल अपडेट संभव नहीं है, तो app.setAsDefaultProtocolClient() को पास करने से पहले उपयोगकर्ता द्वारा प्रदान किए गए प्रोटोकॉल नाम को पूरी तरह से मान्य करने की सिफारिश की जाती है। मजबूत सत्यापन में अनुमत प्रोटोकॉल की एक श्वेतसूची शामिल होनी चाहिए और इस सूची से मेल न खाने वाले किसी भी इनपुट को अस्वीकार कर देना चाहिए। इसके अतिरिक्त, अपने एप्लिकेशन कोड की जांच करें कि क्या app.setAsDefaultProtocolClient() का उपयोग बाहरी स्रोतों से डेटा के साथ किया जा रहा है, और आवश्यक सत्यापन लागू करें।
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.1 o 41.0.0 o superior. Asegúrese de que el nombre del protocolo utilizado en `app.setAsDefaultProtocolClient()` se derive de una fuente segura y no de entrada proporcionada por el usuario para evitar la inyección de claves de registro.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
इलेक्ट्रॉन HTML, CSS और JavaScript जैसी वेब तकनीकों का उपयोग करके क्रॉस-प्लेटफ़ॉर्म डेस्कटॉप एप्लिकेशन बनाने के लिए एक फ्रेमवर्क है।
जांचें कि आपके एप्लिकेशन द्वारा उपयोग किए जा रहे इलेक्ट्रॉन का संस्करण क्या है। यदि यह 38.8.6 से कम है, तो यह प्रभावित है। इसके अतिरिक्त, app.setAsDefaultProtocolClient() के साथ बाहरी डेटा का उपयोग करने वाले किसी भी उदाहरण की पहचान करने के लिए कोड की जांच करें।
यह एक विंडोज रजिस्ट्री कुंजी है जो प्रोटोकॉल और उनके संबंधित हैंडलर के बारे में जानकारी संग्रहीत करती है। इस कुंजी में हेरफेर करने से सिस्टम का व्यवहार प्रभावित हो सकता है।
वांछित विशिष्ट कार्यक्षमता के आधार पर, विकल्प मौजूद हो सकते हैं। किसी भी वैकल्पिक दृष्टिकोण के सुरक्षा निहितार्थों पर सावधानीपूर्वक विचार करें।
app.setAsDefaultProtocolClient() को पास करने से पहले प्रोटोकॉल नाम को पूरी तरह से मान्य करें। अनुमत प्रोटोकॉल की एक श्वेतसूची का उपयोग करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।