UNKNOWNCVE-2026-34773
CVE-2026-34773:Electron协议处理漏洞,影响≤38.8.6
平台
nodejs
组件
electron
已修复版本
38.8.6
CVE-2026-34773是一个Electron中的协议处理漏洞。在Windows系统中,`app.setAsDefaultProtocolClient(protocol)`函数在写入注册表之前没有对协议名称进行验证,这可能导致攻击者劫持现有的协议处理程序。该漏洞影响Electron ≤38.8.6版本。目前没有官方补丁可用,建议验证协议名称以缓解风险。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
什么是CVE-2026-34773漏洞?
CVE-2026-34773是Electron在Windows上的一个协议处理漏洞,允许攻击者通过未验证的协议名称劫持协议处理程序。
我是否受到CVE-2026-34773漏洞的影响?
如果您的Electron应用在Windows上使用`app.setAsDefaultProtocolClient()`函数,并且协议名称来自外部或不受信任的输入,则可能受到影响。如果使用硬编码的协议名称,则不受影响。
如何修复或缓解CVE-2026-34773漏洞?
由于没有官方补丁,建议在调用`app.setAsDefaultProtocolClient()`之前,验证协议名称是否符合`/^[a-zA-Z][a-zA-Z0-9+.-]*$/`正则表达式。