प्लेटफ़ॉर्म
nodejs
घटक
electron
में ठीक किया गया
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34776 macOS और Linux पर app.requestSingleInstanceLock() को कॉल करने वाले ऐप्स में एक आउट-ऑफ-बाउंड हीप रीड भेद्यता है। यह भेद्यता तब होती है जब एक विशेष रूप से तैयार किए गए दूसरे-इंस्टेंस संदेश को पार्स किया जाता है। लीक हुई मेमोरी को ऐप के second-instance इवेंट हैंडलर को दिया जा सकता है। यह समस्या केवल Electron ऐप के समान उपयोगकर्ता के रूप में चलने वाली प्रक्रियाओं तक ही सीमित है। इस समस्या को संस्करण 38.8.6, 40.8.1 और 41.0.0 में ठीक किया गया है।
CVE-2026-34776 macOS और Linux पर app.requestSingleInstanceLock() का उपयोग करने वाले Electron अनुप्रयोगों को प्रभावित करता है। यह भेद्यता एक निर्मित दूसरे उदाहरण संदेश को पार्स करते समय ढेर से बाहर पढ़ने की अनुमति देती है। इससे मेमोरी लीक हो सकती है और इसे एप्लिकेशन के second-instance इवेंट हैंडलर को दिया जा सकता है। यह ध्यान रखना महत्वपूर्ण है कि यह भेद्यता केवल उन प्रक्रियाओं में ही शोषण किया जा सकता है जो Electron ऐप के समान उपयोगकर्ता के रूप में चल रही हैं। जो एप्लिकेशन app.requestSingleInstanceLock() को कॉल नहीं करते हैं, वे प्रभावित नहीं होते हैं, और Windows इस समस्या से प्रभावित नहीं होता है।
एक हमलावर एक दुर्भावनापूर्ण दूसरे उदाहरण संदेश बना सकता है और इसे app.requestSingleInstanceLock() का उपयोग करने वाले कमजोर Electron एप्लिकेशन को भेज सकता है। यदि एप्लिकेशन उचित सत्यापन के बिना इस संदेश को संसाधित करता है, तो ढेर से बाहर पढ़ना हो सकता है, जिससे हमलावर को संवेदनशील जानकारी पढ़ने या मनमाना कोड निष्पादित करने की अनुमति मिल सकती है। शोषण की सफलता हमलावर की दूसरे उदाहरण संदेश को नियंत्रित करने की क्षमता और Electron ऐप के समान विशेषाधिकारों के साथ चल रही प्रक्रिया पर निर्भर करती है।
Developers and users of Electron applications that utilize app.requestSingleInstanceLock() on macOS and Linux are at risk. This includes applications built using frameworks like React, Angular, or Vue.js that leverage Electron for desktop deployment. Shared hosting environments where multiple Electron applications run under the same user account could amplify the potential impact.
• linux / server: Monitor Electron application logs for errors related to memory access or crashes. Use ps and lsof to identify running Electron processes and their associated files.
ps aux | grep electron
lsof -p $(pidof electron)• windows / supply-chain: Use Process Monitor to observe Electron application processes and identify any unusual file access patterns or memory reads. Check Autoruns for any suspicious Electron-related entries.
Get-Process electron | Select-Object Id, ProcessName, Path• generic web: While this vulnerability is not directly web-facing, monitor Electron-based desktop applications for unexpected behavior or crashes after receiving second-instance messages.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान Electron संस्करण 38.8.6 या उच्चतर में अपग्रेड करना है। वर्तमान में, इस समस्या को कम करने के लिए कोई एप्लिकेशन-स्तरीय कार्यarounds नहीं हैं। app.requestSingleInstanceLock() पर निर्भर करने वाले डेवलपर्स को संभावित हमलों को रोकने के लिए जल्द से जल्द अपने अनुप्रयोगों को अपडेट करने की दृढ़ता से सलाह दी जाती है। Electron अपडेट की नियमित रूप से निगरानी करना और सुरक्षा पैच लागू करना एप्लिकेशन सुरक्षा बनाए रखने का एक बुनियादी अभ्यास है।
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.1, 40.8.1 o 41.0.0. Esta actualización aborda una vulnerabilidad de lectura fuera de límites en el manejo de mensajes de segunda instancia, previniendo la posible fuga de memoria a aplicaciones que utilizan `app.requestSingleInstanceLock()`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक Electron फ़ंक्शन है जो सुनिश्चित करता है कि एक समय में एप्लिकेशन का केवल एक उदाहरण ही चल रहा है। यदि दूसरा उदाहरण लॉन्च किया जाता है, तो यह पहले उदाहरण से जुड़ जाता है।
यदि आपके Electron एप्लिकेशन app.requestSingleInstanceLock() का उपयोग करता है और macOS या Linux पर चल रहा है, तो यह संभवतः कमजोर है। अपने Electron संस्करण की जाँच करें।
अपनी आवश्यकताओं के आधार पर, आप कई उदाहरणों के निष्पादन को नियंत्रित करने के लिए अपना स्वयं का तर्क लागू कर सकते हैं, लेकिन इसके लिए महत्वपूर्ण विकास प्रयास की आवश्यकता होगी।
हालांकि कोई सीधा कार्यarounds नहीं हैं, शोषण के जोखिम को कम करने के लिए इनपुट डेटा सत्यापन जैसे अतिरिक्त सुरक्षा उपायों को लागू करने पर विचार करें।
नहीं, यह भेद्यता Windows पर चलने वाले Electron अनुप्रयोगों को प्रभावित नहीं करती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।