Platform
nodejs
Component
electron
Opgelost in
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34767 is een HTTP response header injectie kwetsbaarheid in electron. Apps die custom protocol handlers registreren of response headers wijzigen via webRequest.onHeadersReceived kunnen kwetsbaar zijn als input van een aanvaller wordt gebruikt in een header naam of waarde. Een aanvaller kan zo extra headers injecteren en cookies of content security policy beïnvloeden. De kwetsbaarheid treft electron versies tot 38.8.6, waarin het probleem is opgelost.
De CVE-2026-34767-kwetsbaarheid in Electron heeft betrekking op applicaties die protocol.handle() of protocol.registerSchemesAsPrivileged gebruiken om aangepaste protocollen te verwerken, of webRequest.onHeadersReceived om antwoordheaders te wijzigen. Als een applicatie een door een aanvaller gecontroleerde invoer in de naam of waarde van een HTTP-antwoordheader weerspiegelt, kan deze kwetsbaar zijn voor HTTP-antwoordheader-injectie. Dit stelt een aanvaller in staat om extra antwoordheaders in te voegen, waardoor mogelijk cookies, de Content Security Policy (CSP) of Cross-Origin Access Controls (CORS) worden gemanipuleerd. De impact kan variëren van het manipuleren van sessiecookies tot het wijzigen van het gedrag van de applicatie en het mogelijk blootleggen van gevoelige informatie.
Een aanvaller kan deze kwetsbaarheid uitbuiten als hij de invoer kan controleren die wordt gebruikt om de HTTP-antwoordheaders te maken. Dit kan worden bereikt door middel van verschillende technieken, zoals het manipuleren van URL-parameters, het injecteren van code in webformulieren of het uitbuiten van kwetsbaarheden in andere applicatiecomponenten. Het succes van de uitbuiting hangt af van het vermogen van de aanvaller om de gegevens te beïnvloeden die worden gebruikt om de antwoordheaders te genereren.
Applications built with Electron that register custom protocol handlers or modify response headers are at risk. This includes desktop applications, command-line tools, and web applications packaged as Electron apps. Shared hosting environments where multiple Electron applications share the same server resources are particularly vulnerable, as a compromise in one application could potentially affect others.
• linux / server: Monitor Electron application logs for unusual HTTP response headers. Use ss or lsof to identify processes handling network traffic and correlate with Electron application processes.
lsof -i :80 | grep electron• generic web: Use curl to inspect HTTP response headers from Electron applications. Look for unexpected or suspicious headers.
curl -I https://example.com/electron-app | grep -i 'header-name:'disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om te upgraden naar Electron versie 38.8.6 of hoger. Deze versie bevat een correctie voor de kwetsbaarheid. Valideer en desinfecteer bovendien rigoureus alle door de gebruiker verstrekte invoer die wordt gebruikt om antwoordheaders te maken. Vermijd het direct samenvoegen van door de gebruiker gecontroleerde gegevens in headernamen of -waarden. Implementeer een geschikte codering om de injectie van kwaadaardige tekens te voorkomen. Voer grondige beveiligingstests van de applicatie uit om potentiële aanvalspunten te identificeren en te verzachten.
Actualice Electron a la versión 38.8.6 o superior, 39.8.3 o superior, 40.8.3 o superior, o 41.0.3 o superior. Asegúrese de validar y sanitizar cualquier entrada controlada por el usuario antes de usarla en nombres o valores de encabezados de respuesta HTTP para evitar la inyección de encabezados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Electron is een framework voor het maken van platformonafhankelijke desktopapplicaties met behulp van webtechnologieën zoals HTML, CSS en JavaScript.
Het is een aanvalstechniek waarbij een aanvaller kwaadaardige HTTP-headers in een HTTP-antwoord invoegt, waardoor het gedrag van de browser of applicatie kan worden gewijzigd.
Als uw applicatie protocol.handle(), protocol.registerSchemesAsPrivileged of webRequest.onHeadersReceived gebruikt en de gebruikersinvoer niet correct valideert, is deze mogelijk kwetsbaar. Voer een code-audit en beveiligingstests uit.
Er zijn tools voor statische codeanalyse die kunnen helpen bij het identificeren van het gebruik van kwetsbare functies. Penetratie testen worden ook aanbevolen.
Werk onmiddellijk bij naar de nieuwste versie van Electron. Onderzoek de oorzaak van de kwetsbaarheid en pas de noodzakelijke correctieve maatregelen toe. Overweeg de getroffen gebruikers te informeren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.