CVE-2026-34773 in Electroninformazioni

Riassunto

di VulDB • 19/06/2026

Electron è un framework per la scrittura di applicazioni desktop multipiattaforma utilizzando JavaScript, HTML e CSS. Prima delle versioni 38.8.6, 39.8.1, 40.8.1 e 41.0.0, su Windows, app.setAsDefaultProtocolClient(protocol) non convalidava il nome del protocollo prima di scrivere nel registro di sistema. Le applicazioni che passano input non attendibili come nome del protocollo potrebbero consentire a un attaccante di scrivere in sottochiavi arbitrarie sotto HKCU\Software\Classes\, potenzialmente dirottando i gestori di protocolli esistenti. Le applicazioni sono colpite solo se chiamano app.setAsDefaultProtocolClient() con un nome del protocollo derivato da input esterni o non attendibili. Le applicazioni che utilizzano un nome del protocollo hardcoded (fisso) non sono interessate. Questo problema è stato risolto nelle versioni 38.8.6, 39.8.1, 40.8.1 e 41.0.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

04/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00240

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!