CVE-2026-34773

Name of the Vulnerable Software and Affected Versions Electron versões anteriores a 38.8.6, 39.8.1, 40.8.1 e 41.0.0

Description No Windows, a função app.setAsDefaultProtocolClient(protocol) não validava o nome do protocolo antes de gravar no registro. Passar uma entrada não confiável como o nome do protocolo poderia permitir que um invasor gravasse em subchaves arbitrárias em HKCUSoftwareClasses, potencialmente sequestrando manipuladores de protocolo existentes. As aplicações são afetadas apenas se chamarem app.setAsDefaultProtocolClient() com um nome de protocolo derivado de uma entrada externa ou não confiável. As aplicações que usam um nome de protocolo codificado não são afetadas.

Recommendations Versões anteriores a 38.8.6: Atualize para a versão 38.8.6 ou posterior. Versões anteriores a 39.8.1: Atualize para a versão 39.8.1 ou posterior. Versões anteriores a 40.8.1: Atualize para a versão 40.8.1 ou posterior. Versões anteriores a 41.0.0: Atualize para a versão 41.0.0 ou posterior. Como alternativa, valide se o nome do protocolo corresponde a /^[a-zA-Z][a-zA-Z0-9+.-]*$/ antes de passá-lo para app.setAsDefaultProtocolClient().