UNKNOWNCVE-2026-34773
CVE-2026-34773: electron プロトコルハンドラの脆弱性 (CVSS 4.7)
プラットフォーム
nodejs
コンポーネント
electron
修正バージョン
38.8.6
CVE-2026-34773は、electronの`app.setAsDefaultProtocolClient(protocol)`関数における脆弱性で、Windows環境において、プロトコル名の検証が不十分なために発生します。この脆弱性を悪用されると、攻撃者が任意のレジストリキーを書き換え、既存のプロトコルハンドラを乗っ取る可能性があります。影響を受けるのは、外部からの入力に基づいてプロトコル名を決定するアプリケーションです。この問題はバージョン38.8.6で修正されました。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-34773とは何ですか?
CVE-2026-34773は、electronのWindows環境におけるプロトコルハンドラの脆弱性です。`app.setAsDefaultProtocolClient()`がプロトコル名を適切に検証しないことが原因で、レジストリの書き換えを許してしまう可能性があります。
この脆弱性の影響を受けますか?
外部からの入力に基づいてプロトコル名を`app.setAsDefaultProtocolClient()`に渡しているelectronアプリケーションは影響を受ける可能性があります。ハードコードされたプロトコル名を使用している場合は影響を受けません。
この脆弱性を修正するにはどうすればよいですか?
electronをバージョン38.8.6以降にアップデートしてください。アップデートできない場合は、プロトコル名が`^[a-zA-Z][a-zA-Z0-9+.-]*$/`の正規表現に一致することを確認してください。