CVE-2026-34773 in Electron
Riassunto
di VulDB • 19/06/2026
Electron è un framework per la scrittura di applicazioni desktop multipiattaforma utilizzando JavaScript, HTML e CSS. Prima delle versioni 38.8.6, 39.8.1, 40.8.1 e 41.0.0, su Windows, app.setAsDefaultProtocolClient(protocol) non convalidava il nome del protocollo prima di scrivere nel registro di sistema. Le applicazioni che passano input non attendibili come nome del protocollo potrebbero consentire a un attaccante di scrivere in sottochiavi arbitrarie sotto HKCU\Software\Classes\, potenzialmente dirottando i gestori di protocolli esistenti. Le applicazioni sono colpite solo se chiamano app.setAsDefaultProtocolClient() con un nome del protocollo derivato da input esterni o non attendibili. Le applicazioni che utilizzano un nome del protocollo hardcoded (fisso) non sono interessate. Questo problema è stato risolto nelle versioni 38.8.6, 39.8.1, 40.8.1 e 41.0.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.