anonhaven

CVE-2026-34767

MEDIUM CVSS 3.1: 6,5 EPSS 0.01%
Обновлено 9 апреля 2026
Electron
Параметр Значение
CVSS 6,5 (MEDIUM)
Уязвимые версии 39.0.0 — 41.0.3
Устранено в версии 38.8.6
Тип уязвимости CWE-74 (Внедрение), CWE-113
Поставщик Electron
Публичный эксплойт Нет

Electron — это платформа для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. До версий 38.8.6, 39.8.3, 40.8.3 и 41.0.3 приложения, которые регистрируют собственные обработчики протоколов с помощью протокола.handle()/protocol.registerSchemesAsPrivileged() или изменяют заголовки ответов с помощью webRequest.onHeadersReceived, могут быть уязвимы для внедрения заголовка ответа HTTP, если входные данные, контролируемые злоумышленником, отражаются в имени или значении заголовка ответа. Злоумышленник, который может повлиять на значение заголовка, может иметь возможность внедрить дополнительные заголовки ответа, влияя на файлы cookie, политику безопасности контента или управление доступом между источниками.

Приложения, которые не отражают внешний ввод в заголовках ответов, не затрагиваются. Эта проблема исправлена ​​в версиях 38.8.6, 39.8.3, 40.8.3 и 41.0.3.

Показать оригинальное описание (EN)

Electron is a framework for writing cross-platform desktop applications using JavaScript, HTML and CSS. Prior to versions 38.8.6, 39.8.3, 40.8.3, and 41.0.3, apps that register custom protocol handlers via protocol.handle() / protocol.registerSchemesAsPrivileged() or modify response headers via webRequest.onHeadersReceived may be vulnerable to HTTP response header injection if attacker-controlled input is reflected into a response header name or value. An attacker who can influence a header value may be able to inject additional response headers, affecting cookies, content security policy, or cross-origin access controls. Apps that do not reflect external input into response headers are not affected. This issue has been patched in versions 38.8.6, 39.8.3, 40.8.3, and 41.0.3.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-74 Injection (Внедрение)
CWE-113

Уязвимые продукты 4

Конфигурация От (включительно) До (исключительно)
Electronjs Electron
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:*
 38.8.6
Electronjs Electron
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:*
 39.0.0 39.8.3
Electronjs Electron
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:*
 40.0.0 40.8.3
Electronjs Electron
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:*
 41.0.0 41.0.3

Ссылки 1

https://github.com/electron/electron/security/advisories/GHSA-4p4r-m79c-wq3v
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-34764

Electron

2,3

CVE-2026-34780

Electron

8,3

CVE-2026-34779

Electron

6,5

CVE-2026-34778

Electron

5,9

CVE-2026-34777

Electron

5,4