CVE-2026-34773: Protocol Handler Hijacking in Electron
Platform
nodejs
Component
electron
Opgelost in
38.8.6
CVE-2026-34773 is een protocol handler hijacking kwetsbaarheid in Electron op Windows. De functie `app.setAsDefaultProtocolClient(protocol)` valideert de protocolnaam niet, waardoor een aanvaller willekeurige subkeys kan beschrijven onder `HKCU\Software\Classes\`. Dit kan leiden tot het kapen van bestaande protocol handlers. De kwetsbaarheid treft apps die `app.setAsDefaultProtocolClient()` aanroepen met een protocolnaam afgeleid van externe input. De kwetsbaarheid is verholpen in Electron versie 38.8.6.
Hoe te verhelpen
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Veelgestelde vragen
Wat is CVE-2026-34773?
CVE-2026-34773 is een kwetsbaarheid in Electron waarbij een aanvaller protocol handlers kan kapen door ongeldige protocolnamen te gebruiken in `app.setAsDefaultProtocolClient()`.
Ben ik getroffen door CVE-2026-34773?
Je bent getroffen als je `app.setAsDefaultProtocolClient()` gebruikt met een protocolnaam die afkomstig is van externe of niet-vertrouwde input. Apps die een hardcoded protocolnaam gebruiken, zijn niet getroffen.
Hoe kan ik CVE-2026-34773 verhelpen?
Update naar Electron versie 38.8.6 of hoger. Valideer de protocolnaam met `/^[a-zA-Z][a-zA-Z0-9+.-]*$/` voordat je `app.setAsDefaultProtocolClient()` aanroept.
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen