इलेक्ट्रॉन: साझा रेंडरर प्रक्रियाओं में `nodeIntegrationInWorker` सही ढंग से स्कोप नहीं किया गया

CVE-2026-34775 Electron को प्रभावित करता है, जो JavaScript, HTML और CSS का उपयोग करके क्रॉस-प्लेटफ़ॉर्म डेस्कटॉप एप्लिकेशन बनाने के लिए एक लोकप्रिय फ्रेमवर्क है। 38.8.6, 39.8.4, 40.8.4 और 41.0.0 से पहले के संस्करणों में, webPreference nodeIntegrationInWorker सभी कॉन्फ़िगरेशन में सही ढंग से दायरे में नहीं था। इसका मतलब है कि कुछ प्रक्रिया-साझाकरण परिदृश्यों में, nodeIntegrationInWorker: false के साथ कॉन्फ़िगर किए गए फ़्रेम में शुरू किए गए कार्यकर्ता अभी भी Node.js एकीकरण प्राप्त कर सकते हैं। यह एकीकरण कार्यकर्ताओं को Node.js API तक पहुंच के साथ JavaScript कोड निष्पादित करने की अनुमति देता है, जो यदि ठीक से नियंत्रित नहीं किया जाता है, तो खतरनाक हो सकता है। यह भेद्यता केवल उन अनुप्रयोगों के लिए प्रासंगिक है जो nodeIntegrationInWorker को स्पष्ट रूप से सक्षम करते हैं। CVSS पैमाने पर भेद्यता की गंभीरता को 6.8 के रूप में रेट किया गया है।

Applications built with Electron that utilize workers and have enabled nodeIntegrationInWorker are at risk. This includes desktop applications that handle sensitive data, interact with external APIs, or process user input. Shared hosting environments where multiple Electron applications share resources could also be vulnerable if one application is compromised.

• linux / server:

ps aux | grep -i electron | grep -i 'nodeIntegrationInWorker'

• windows / supply-chain:

Get-Process -Name Electron | Select-Object -ExpandProperty Path | ForEach-Object { Get-ChildItem $_ -Recurse | Where-Object {$_.Name -match 'nodeIntegrationInWorker'}} 

• generic web: Inspect Electron application's web preferences for nodeIntegrationInWorker configuration. Review application code for worker creation and usage patterns.

1. 2026-04-03Disclosure

   disclosure

1. आरक्षित2026-03-30
2. प्रकाशित2026-04-03
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-04-11

CVE-2026-34775 को कम करने का समाधान Electron के उस संस्करण में अपडेट करना है जो भेद्यता को पैच करता है। प्रभावित संस्करण 38.8.6, 39.8.4, 40.8.4 और 41.0.0 से पहले के सभी संस्करण हैं। नवीनतम उपलब्ध संस्करण (वर्तमान में 38.8.6 या उच्चतर) में अपडेट करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, अपने एप्लिकेशन में nodeIntegrationInWorker कॉन्फ़िगरेशन की जांच करें ताकि यह सुनिश्चित हो सके कि इसे केवल तभी सक्षम किया गया है जब यह बिल्कुल आवश्यक हो। यदि nodeIntegrationInWorker का उपयोग नहीं किया जा रहा है, तो इसे अक्षम करने से एप्लिकेशन के हमले की सतह को कम किया जा सकता है। अपडेट को Electron टीम द्वारा प्रदान किए गए अपग्रेड निर्देशों के अनुसार किया जाना चाहिए।