Plataforma
nodejs
Componente
electron
Corrigido em
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34767 é uma vulnerabilidade de injeção de header HTTP no Electron. Um atacante pode injetar headers de resposta, afetando cookies, Content Security Policy (CSP) e controles de acesso cross-origin. A vulnerabilidade afeta aplicativos que registram manipuladores de protocolo personalizados ou modificam headers de resposta via webRequest.onHeadersReceived. A correção está disponível na versão 38.8.6 do Electron.
A vulnerabilidade CVE-2026-34767 no Electron afeta aplicativos que utilizam protocol.handle() ou protocol.registerSchemesAsPrivileged para lidar com protocolos personalizados, ou webRequest.onHeadersReceived para modificar cabeçalhos de resposta. Se um aplicativo refletir entrada controlada por um atacante no nome ou valor de um cabeçalho de resposta HTTP, ele pode ser vulnerável à injeção de cabeçalhos de resposta HTTP. Isso permite que um atacante injete cabeçalhos de resposta adicionais, manipulando potencialmente cookies, a política de segurança de conteúdo (CSP) ou os controles de acesso entre origens (CORS). O impacto pode variar desde a manipulação de cookies de sessão até a alteração do comportamento do aplicativo e a possível exposição de informações confidenciais.
Um atacante pode explorar esta vulnerabilidade se puder controlar a entrada usada para construir os cabeçalhos HTTP de resposta. Isso pode ser alcançado por meio de várias técnicas, como a manipulação de parâmetros de URL, a injeção de código em formulários da web ou a exploração de vulnerabilidades em outros componentes do aplicativo. O sucesso da exploração depende da capacidade do atacante de influenciar os dados usados para gerar os cabeçalhos de resposta.
Applications built with Electron that register custom protocol handlers or modify response headers are at risk. This includes desktop applications, command-line tools, and web applications packaged as Electron apps. Shared hosting environments where multiple Electron applications share the same server resources are particularly vulnerable, as a compromise in one application could potentially affect others.
• linux / server: Monitor Electron application logs for unusual HTTP response headers. Use ss or lsof to identify processes handling network traffic and correlate with Electron application processes.
lsof -i :80 | grep electron• generic web: Use curl to inspect HTTP response headers from Electron applications. Look for unexpected or suspicious headers.
curl -I https://example.com/electron-app | grep -i 'header-name:'disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar para a versão 38.8.6 ou superior do Electron. Esta versão inclui uma correção para a vulnerabilidade. Além disso, valide e sanitize rigorosamente qualquer entrada fornecida pelo usuário que seja usada para construir cabeçalhos de resposta. Evite a concatenação direta de dados controlados pelo usuário em nomes ou valores de cabeçalhos. Implemente uma codificação apropriada para evitar a injeção de caracteres maliciosos. Realize testes de segurança abrangentes do aplicativo para identificar e mitigar possíveis vetores de ataque.
Actualice Electron a la versión 38.8.6 o superior, 39.8.3 o superior, 40.8.3 o superior, o 41.0.3 o superior. Asegúrese de validar y sanitizar cualquier entrada controlada por el usuario antes de usarla en nombres o valores de encabezados de respuesta HTTP para evitar la inyección de encabezados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Electron é um framework para criar aplicativos de desktop multiplataforma usando tecnologias web como HTML, CSS e JavaScript.
É uma técnica de ataque onde um atacante insere cabeçalhos HTTP maliciosos em uma resposta HTTP, o que pode alterar o comportamento do navegador ou do aplicativo.
Se seu aplicativo usa protocol.handle(), protocol.registerSchemesAsPrivileged ou webRequest.onHeadersReceived e não valida adequadamente a entrada do usuário, ele pode ser vulnerável. Realize uma auditoria de código e testes de segurança.
Existem ferramentas de análise estática de código que podem ajudar a identificar o uso de funções vulneráveis. Também é recomendável realizar testes de penetração.
Atualize imediatamente para a versão mais recente do Electron. Investigue a causa da vulnerabilidade e aplique as medidas corretivas necessárias. Considere notificar os usuários afetados.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.