UNKNOWNCVE-2026-34767
CVE-2026-34767:electron HTTP响应头注入漏洞,中危
平台
nodejs
组件
electron
CVE-2026-34767是electron中的一个HTTP响应头注入漏洞。如果攻击者控制的输入被反映到响应头名称或值中,通过`protocol.handle()` / `protocol.registerSchemesAsPrivileged()`注册自定义协议处理程序或通过`webRequest.onHeadersReceived`修改响应头的应用可能会受到HTTP响应头注入的影响。受影响的版本包括electron ≤38.8.6。只有将外部输入反映到响应头的应用才会受到影响。建议验证或清理外部输入。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-34767是什么漏洞?
CVE-2026-34767是electron中的一个HTTP响应头注入漏洞,可能允许攻击者注入额外的响应头。
我是否受到CVE-2026-34767的影响?
如果您的electron应用使用了小于等于38.8.6的版本,并且将外部输入反映到响应头中,那么您可能会受到影响。
如何修复或缓解CVE-2026-34767?
验证或清理外部输入可以缓解此漏洞。升级到不受影响的electron版本是最佳解决方案。目前没有官方补丁可用。