प्लेटफ़ॉर्म
nodejs
घटक
electron
में ठीक किया गया
39.8.2
40.0.1
41.0.1
CVE-2026-34774 Electron में मौजूद एक Use-After-Free भेद्यता है। यह भेद्यता उन ऐप्स को प्रभावित करती है जो ऑफस्क्रीन रेंडरिंग का उपयोग करते हैं और window.open() के माध्यम से चाइल्ड विंडो की अनुमति देते हैं। यदि पैरेंट ऑफस्क्रीन WebContents नष्ट हो जाता है जबकि चाइल्ड विंडो खुली रहती है, तो बाद के पेंट फ्रेम मुक्त मेमोरी को डीरेफरेंस करते हैं, जिससे क्रैश या मेमोरी करप्शन हो सकता है। इस समस्या को संस्करण 39.8.1 में ठीक कर दिया गया है।
CVE-2026-34774 उन Electron अनुप्रयोगों को प्रभावित करता है जो ऑफस्क्रीन रेंडरिंग का उपयोग करते हैं और window.open() के माध्यम से चाइल्ड विंडो खोलते हैं। संस्करण 39.8.1, 40.7.0 और 41.0.0 से पहले, यदि पैरेंट ऑफस्क्रीन WebContents चाइल्ड विंडो खुली रहने पर नष्ट हो जाती है, तो चाइल्ड में बाद के पेंट फ्रेम मुक्त मेमोरी को संदर्भित कर सकते हैं, जिससे क्रैश या मेमोरी भ्रष्टाचार हो सकता है। यह समस्या विशेष रूप से उन अनुप्रयोगों को प्रभावित करती है जो स्पष्ट रूप से ऑफस्क्रीन रेंडरिंग और window.open() कार्यक्षमता का उपयोग करते हैं। CVSS गंभीरता 8.1 है, जो एक उच्च जोखिम भेद्यता का संकेत देता है। मेमोरी भ्रष्टाचार की प्रकृति के कारण एप्लिकेशन अप्रत्याशित रूप से व्यवहार कर सकता है या क्रैश हो सकता है।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को कमजोर Electron एप्लिकेशन के भीतर निष्पादित JavaScript कोड को नियंत्रित करने में सक्षम होना चाहिए। यह दुर्भावनापूर्ण कोड इंजेक्शन के माध्यम से प्राप्त किया जा सकता है, या यदि एप्लिकेशन अविश्वसनीय स्रोतों से सामग्री लोड करता है। एक बार जब हमलावर के पास कोड पर नियंत्रण हो जाता है, तो वे मुक्त मेमोरी के संदर्भ को ट्रिगर करने के लिए विंडो लाइफसाइकल में हेरफेर कर सकते हैं। ऑफस्क्रीन रेंडरिंग की प्रकृति के कारण, शोषण जटिल हो सकता है और विशिष्ट एप्लिकेशन आर्किटेक्चर पर निर्भर हो सकता है। KEV (नॉलेज एन्हांस्ड भेद्यता) की अनुपस्थिति से पता चलता है कि इस भेद्यता के वास्तविक शोषण के बारे में कोई सार्वजनिक विस्तृत जानकारी नहीं है।
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34774 के लिए समाधान Electron संस्करण 39.8.1 या उच्चतर, 40.7.0 या उच्चतर, या 41.0.0 या उच्चतर में अपग्रेड करना है। इन संस्करणों में मुक्त मेमोरी को संदर्भित करने से रोकने वाले फिक्स शामिल हैं। इस जोखिम को कम करने के लिए डेवलपर्स को जल्द से जल्द अपने Electron अनुप्रयोगों को अपडेट करने की दृढ़ता से सलाह दी जाती है। इसके अतिरिक्त, हमले की सतह को कम करने के लिए ऑफस्क्रीन रेंडरिंग और window.open() के साथ खोले गए चाइल्ड विंडो के अनावश्यक उपयोग की पहचान करने और हटाने के लिए कोड की समीक्षा करने की सिफारिश की जाती है। अपग्रेड के बाद गहन परीक्षण एप्लिकेशन की स्थिरता सुनिश्चित करने के लिए महत्वपूर्ण है।
Actualice a la versión 39.8.1, 40.7.0 o 41.0.0 de Electron para mitigar la vulnerabilidad de uso tras la liberación. Asegúrese de que las aplicaciones no utilicen offscreen rendering (webPreferences.offscreen: true) o que el manejo de ventanas secundarias esté configurado correctamente para evitar la apertura de ventanas secundarias no deseadas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
नहीं, यह केवल उन अनुप्रयोगों को प्रभावित करता है जो ऑफस्क्रीन रेंडरिंग और window.open() फ़ंक्शन का उपयोग करते हैं।
यदि आप तुरंत अपने एप्लिकेशन को अपडेट नहीं कर सकते हैं, तो इनपुट सत्यापन और मेमोरी एक्सेस को सीमित करने जैसे अस्थायी शमन उपायों को लागू करने पर विचार करें।
आप जिस Electron संस्करण का उपयोग कर रहे हैं, उसकी जांच करें। यदि यह 39.8.1, 40.7.0 या 41.0.0 से पहले का है, तो आपका एप्लिकेशन कमजोर है।
यह एक तकनीक है जो वेब सामग्री को मुख्य विंडो से अलग सतह पर प्रस्तुत करने की अनुमति देती है, जो कुछ मामलों में प्रदर्शन में सुधार कर सकती है।
हालांकि कोई विशिष्ट स्वचालित उपकरण नहीं हैं, offscreen और window.open() की खोज के लिए मैन्युअल कोड समीक्षा उपयोग की पहचान करने में मदद कर सकती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।