Vertedinde

Name of the Vulnerable Software and Affected Versions Electron versões anteriores a 38.8.6, 39.8.3, 40.8.3 e 41.0.3 Description Aplicações que usam Electron e registram manipuladores de protocolo personalizados via `protocol.handle()` / `protocol.registerSchemesAsPrivileged()` ou modificam cabeçalhos de resposta via `webRequest.onHeadersReceived` podem ser suscetíveis à injeção de cabeçalho de resposta HTTP se a entrada controlada por um invasor for refletida no nome ou valor de um cabeçalho de resposta. Um invasor que influenciar um valor de cabeçalho pode injetar cabeçalhos de resposta adicionais, afetando potencialmente cookies, política de segurança de conteúdo ou controles de acesso entre origens. Aplicações que não refletem entrada externa em cabeçalhos de resposta não são afetadas. Recommendations Versões anteriores a 38.8.6: Valide ou sanitize qualquer entrada não confiável antes de incluí-la no nome ou valor de um cabeçalho de resposta. Versões anteriores a 39.8.3: Valide ou sanitize qualquer entrada não confiável antes de incluí-la no nome ou valor de um cabeçalho de resposta. Versões anteriores a 40.8.3: Valide ou sanitize qualquer entrada não confiável antes de incluí-la no nome ou valor de um cabeçalho de resposta. Versões anteriores a 41.0.3: Valide ou sanitize qualquer entrada não confiável antes de incluí-la no nome ou valor de um cabeçalho de resposta.

**Name of the Vulnerable Software and Affected Versions** Electron versões anteriores a 38.8.6, anteriores a 39.8.0, anteriores a 40.7.0 e anteriores a 41.0.0-beta.8 **Description** Aplicações Electron que permitem downloads e a destruição programática de sessões podem apresentar uma condição de uso após liberação (use-after-free). Especificamente, se uma sessão for encerrada enquanto uma caixa de diálogo nativa de salvamento de arquivo estiver aberta durante um download, descartar a caixa de diálogo pode levar à desreferenciação de memória liberada, causando potencialmente uma falha ou corrupção de memória. Aplicações que não destroem sessões ou permitem downloads não são afetadas. **Recommendations** Atualize para a versão 38.8.6 ou posterior do Electron. Atualize para a versão 39.8.0 ou posterior do Electron. Atualize para a versão 40.7.0 ou posterior do Electron. Atualize para a versão 41.0.0-beta.8 ou posterior do Electron. Evite destruir sessões enquanto uma caixa de diálogo de salvamento de download pode estar aberta. Cancele os downloads pendentes antes de encerrar a sessão.