इलेक्ट्रॉन: बिना दस्तावेज़ वाले commandLineSwitches वेबप्रेफरेंस के माध्यम से रेंडरर कमांड-लाइन स्विच इंजेक्शन

### प्रभाव एक बिना दस्तावेज़ वाले `commandLineSwitches` वेबप्रेफरेंस ने रेंडरर प्रक्रिया कमांड लाइन में मनमाने स्विच जोड़ने की अनुमति दी। जो ऐप्स अविश्वसनीय कॉन्फ़िगरेशन ऑब्जेक्ट्स को फैलाकर `webPreferences` बनाते हैं, वे अनजाने में हमलावर को ऐसे स्विच इंजेक्ट करने की अनुमति दे सकते हैं जो रेंडरर सैंडबॉक्सिंग या वेब सुरक्षा नियंत्रणों को अक्षम कर देते हैं। ऐप्स केवल तभी प्रभावित होते हैं जब वे बिना अनुमति सूची के बाहरी या अविश्वसनीय इनपुट से `webPreferences` बनाते हैं। जो ऐप्स एक निश्चित, हार्डकोडेड `webPreferences` ऑब्जेक्ट का उपयोग करते हैं वे प्रभावित नहीं होते हैं। ### समाधान अविश्वसनीय इनपुट को `webPreferences` में न फैलाएं। बाहरी कॉन्फ़िगरेशन से `BrowserWindow` या `webContents` विकल्पों का निर्माण करते समय अनुमत वरीयता कुंजियों की एक स्पष्ट अनुमति सूची का उपयोग करें। ### फिक्स्ड वर्जन * `41.0.0-beta.8` * `40.7.0` * `39.8.0` * `38.8.6` ### अधिक जानकारी के लिए यदि इस सलाह के बारे में कोई प्रश्न या टिप्पणी है, तो [security@electronjs.org](mailto:security@electronjs.org) पर एक ईमेल भेजें।