प्लेटफ़ॉर्म
nodejs
घटक
electron
में ठीक किया गया
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34777 इलेक्ट्रॉन में एक भेद्यता है जो iframe द्वारा fullscreen, pointerLock, keyboardLock, openExternal, या media अनुमतियों के अनुरोध करने पर उत्पन्न होती है। session.setPermissionRequestHandler() को भेजा गया मूल शीर्ष-स्तरीय पृष्ठ का मूल था, न कि अनुरोध करने वाले iframe का। यह भेद्यता उन ऐप्स को प्रभावित करती है जो मूल पैरामीटर या webContents.getURL() के आधार पर अनुमतियाँ प्रदान करते हैं। संस्करण 38.8.6 में ठीक किया गया।
इलेक्ट्रॉन में CVE-2026-34777 भेद्यता iframe के भीतर अनुमति अनुरोधों को संभालने के तरीके को प्रभावित करती है। विशेष रूप से, जब कोई iframe फुलस्क्रीन, पॉइंटर लॉक, कीबोर्ड लॉक, बाहरी खोलना, या मीडिया एक्सेस जैसी अनुमतियों का अनुरोध करता है, तो इलेक्ट्रॉन इन अनुरोधों को session.setPermissionRequestHandler() के माध्यम से संसाधित करते समय शीर्ष-स्तरीय पृष्ठ के मूल के बजाय अनुरोध करने वाले iframe के मूल का उपयोग कर रहा था। इसका मतलब है कि मूल पर भरोसा करके यह निर्धारित करने वाला एप्लिकेशन अनजाने में iframe के भीतर एम्बेडेड तृतीय-पक्ष सामग्री को अनुमति दे सकता है, जिससे विशेषाधिकार वृद्धि या संवेदनशील संसाधनों तक अनधिकृत पहुंच हो सकती है।
एक हमलावर इलेक्ट्रॉन एप्लिकेशन के भीतर एक iframe में दुर्भावनापूर्ण कोड इंजेक्ट करके इस भेद्यता का फायदा उठा सकता है। यह कोड संवेदनशील अनुमतियों (जैसे कैमरा या माइक्रोफ़ोन एक्सेस) का अनुरोध कर सकता है, और मूल हैंडलिंग त्रुटि के कारण, एप्लिकेशन इस दुर्भावनापूर्ण कोड को इन अनुमतियों को दे सकता है। यह हमलावर को उपयोगकर्ता की जासूसी करने, गोपनीय जानकारी चुराने या उपयोगकर्ता की ओर से अन्य दुर्भावनापूर्ण कार्य करने की अनुमति दे सकता है। शोषण की संभावना कमजोर इलेक्ट्रॉन अनुप्रयोगों की व्यापकता और हमलावरों के लिए iframe में दुर्भावनापूर्ण कोड इंजेक्ट करने में आसानी पर निर्भर करती है।
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान इलेक्ट्रॉन संस्करण 38.8.6 या उच्चतर में अपग्रेड करना है। यह संस्करण session.setPermissionRequestHandler() यह सुनिश्चित करके समस्या को ठीक करता है कि यह अनुरोध करने वाले iframe के सही मूल को प्राप्त करता है। डेवलपर्स को जोखिम को कम करने के लिए जल्द से जल्द अपने इलेक्ट्रॉन अनुप्रयोगों को अपडेट करने की दृढ़ता से सलाह दी जाती है। इसके अतिरिक्त, यह अनुशंसा की जाती है कि तृतीय-पक्ष सामग्री से निपटने के दौरान मजबूत मानदंडों पर आधारित होने और केवल मूल पर निर्भर न होने के लिए अनुमति नियंत्रण तर्क की समीक्षा और मजबूत करें। निर्भरताओं की नियमित रूप से निगरानी करना और सुरक्षा पैच लागू करना इलेक्ट्रॉन एप्लिकेशन सुरक्षा बनाए रखने के लिए एक आवश्यक अभ्यास है।
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.1 o 41.0.0 o superior. Verifique que su código no dependa de la origin del iframe para la autorización, sino que utilice `details.requestingUrl` para validar las solicitudes de permisos. Esto evitará que se otorguen permisos a contenido de terceros incrustado.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
इलेक्ट्रॉन HTML, CSS और JavaScript जैसे वेब तकनीकों का उपयोग करके क्रॉस-प्लेटफ़ॉर्म डेस्कटॉप एप्लिकेशन बनाने के लिए एक फ्रेमवर्क है।
यह अपडेट एक सुरक्षा भेद्यता को ठीक करता है जो दुर्भावनापूर्ण सामग्री को इलेक्ट्रॉन एप्लिकेशन के भीतर अनधिकृत अनुमतियां प्राप्त करने की अनुमति दे सकता है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अपने अनुमति नियंत्रण कोड की सावधानीपूर्वक समीक्षा करें और सुनिश्चित करें कि यह यह निर्धारित करने के लिए केवल मूल पर निर्भर नहीं है कि अनुमति दी जानी चाहिए या नहीं।
यदि आप 38.8.6 से पहले के इलेक्ट्रॉन संस्करण का उपयोग कर रहे हैं, तो आपका एप्लिकेशन इस भेद्यता के प्रति संवेदनशील है।
आप इलेक्ट्रॉन वेबसाइट और CVE जैसे भेद्यता डेटाबेस में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।