CVE-2026-34767

Name of the Vulnerable Software and Affected Versions Electron versões anteriores a 38.8.6, 39.8.3, 40.8.3 e 41.0.3

Description Aplicações que usam Electron e registram manipuladores de protocolo personalizados via protocol.handle() / protocol.registerSchemesAsPrivileged() ou modificam cabeçalhos de resposta via webRequest.onHeadersReceived podem ser suscetíveis à injeção de cabeçalho de resposta HTTP se a entrada controlada por um invasor for refletida no nome ou valor de um cabeçalho de resposta. Um invasor que influenciar um valor de cabeçalho pode injetar cabeçalhos de resposta adicionais, afetando potencialmente cookies, política de segurança de conteúdo ou controles de acesso entre origens. Aplicações que não refletem entrada externa em cabeçalhos de resposta não são afetadas.

Recommendations Versões anteriores a 38.8.6: Valide ou sanitize qualquer entrada não confiável antes de incluí-la no nome ou valor de um cabeçalho de resposta. Versões anteriores a 39.8.3: Valide ou sanitize qualquer entrada não confiável antes de incluí-la no nome ou valor de um cabeçalho de resposta. Versões anteriores a 40.8.3: Valide ou sanitize qualquer entrada não confiável antes de incluí-la no nome ou valor de um cabeçalho de resposta. Versões anteriores a 41.0.3: Valide ou sanitize qualquer entrada não confiável antes de incluí-la no nome ou valor de um cabeçalho de resposta.