Plataforma
nodejs
Componente
electron
Corrigido em
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
A vulnerabilidade CVE-2026-34773 refere-se a uma falha de validação no electron para Windows, onde app.setAsDefaultProtocolClient(protocol) não valida o nome do protocolo antes de escrever no registro. Isso pode permitir que um invasor escreva em subchaves arbitrárias sob HKCU\Software\Classes\, potencialmente sequestrando handlers de protocolo existentes. A falha afeta aplicativos que usam app.setAsDefaultProtocolClient() com um nome de protocolo derivado de entrada externa não confiável. A correção está disponível na versão 38.8.6.
A vulnerabilidade CVE-2026-34773 no Electron afeta aplicações que utilizam app.setAsDefaultProtocolClient(protocol) no Windows. O problema reside na falta de validação adequada do nome do protocolo antes de escrever no registro do Windows. Isso permite que um atacante, se a aplicação aceitar nomes de protocolo de fontes não confiáveis, escreva em subchaves arbitrárias sob HKCU\Software\Classes\. Essa escrita pode potencialmente permitir a interceptação de manipuladores de protocolo existentes, levando à execução de código malicioso ou redirecionamento do usuário para sites indesejados ao tentar abrir um link com um protocolo específico. A vulnerabilidade é relevante apenas se o nome do protocolo for derivado de uma entrada externa ou não confiável.
Um atacante pode explorar esta vulnerabilidade criando um link malicioso que utilize um nome de protocolo especialmente projetado. Se uma aplicação vulnerável tentar registrar este protocolo como o cliente padrão, o atacante poderá escrever no registro do Windows, comprometendo potencialmente a configuração do sistema. O sucesso da exploração depende da capacidade do atacante de enganar a aplicação para que utilize um nome de protocolo não validado. A complexidade da exploração pode variar dependendo da arquitetura da aplicação e das medidas de segurança existentes.
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A solução para mitigar CVE-2026-34773 é atualizar para a versão 38.8.6 do Electron ou superior. Esta versão inclui validação adequada do nome do protocolo antes de escrever no registro. Se uma atualização imediata não for possível, recomenda-se validar exaustivamente o nome do protocolo fornecido pelo usuário antes de passá-lo para app.setAsDefaultProtocolClient(). A validação robusta deve incluir uma lista branca de protocolos permitidos e rejeitar qualquer entrada que não corresponda a esta lista. Além disso, revise o código da aplicação em busca de quaisquer instâncias de uso de app.setAsDefaultProtocolClient() com dados de origem externa e aplique as validações necessárias.
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.1 o 41.0.0 o superior. Asegúrese de que el nombre del protocolo utilizado en `app.setAsDefaultProtocolClient()` se derive de una fuente segura y no de entrada proporcionada por el usuario para evitar la inyección de claves de registro.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Electron é um framework para construir aplicações de desktop multiplataforma utilizando tecnologias web como HTML, CSS e JavaScript.
Verifique a versão do Electron que sua aplicação está utilizando. Se estiver abaixo da versão 38.8.6, é vulnerável. Revise também o código para identificar o uso de app.setAsDefaultProtocolClient() com dados de origem externa.
É uma chave do registro do Windows que armazena informações sobre os protocolos e seus manipuladores associados. A manipulação desta chave pode afetar o comportamento do sistema.
Dependendo da funcionalidade desejada, pode haver alternativas. Considere cuidadosamente as implicações de segurança de qualquer abordagem alternativa.
Implemente uma validação exaustiva do nome do protocolo antes de passá-lo para app.setAsDefaultProtocolClient(). Utilize uma lista branca de protocolos permitidos.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.