CVE-2026-34773: Falha de Validação em electron (Windows)
Plataforma
nodejs
Componente
electron
Corrigido em
38.8.6
A vulnerabilidade CVE-2026-34773 refere-se a uma falha de validação no electron para Windows, onde `app.setAsDefaultProtocolClient(protocol)` não valida o nome do protocolo antes de escrever no registro. Isso pode permitir que um invasor escreva em subchaves arbitrárias sob `HKCU\Software\Classes\`, potencialmente sequestrando handlers de protocolo existentes. A falha afeta aplicativos que usam `app.setAsDefaultProtocolClient()` com um nome de protocolo derivado de entrada externa não confiável. A correção está disponível na versão 38.8.6.
Como corrigir
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Perguntas frequentes
O que é a vulnerabilidade CVE-2026-34773?
A CVE-2026-34773 é uma falha de validação no electron (Windows) que permite a escrita arbitrária no registro do Windows, potencialmente sequestrando manipuladores de protocolo.
Como saber se sou afetado pela CVE-2026-34773?
Você é afetado se seu aplicativo electron para Windows chama `app.setAsDefaultProtocolClient()` com um nome de protocolo derivado de entrada externa ou não confiável.
Como corrigir ou mitigar a CVE-2026-34773?
A correção está disponível na versão 38.8.6 do electron. Valide o nome do protocolo com a expressão regular `/^[a-zA-Z][a-zA-Z0-9+.-]*$/` antes de usar `app.setAsDefaultProtocolClient()`.
Monitore suas dependências automaticamente
Receba alertas quando novas vulnerabilidades afetarem seus projetos.
Começar grátis