Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02692

Опубликовано: 11 мар. 2024
Источник: fstec
CVSS3: 6.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость плагина Codeium-Chrome связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить произвольный запрос на внутренний сервер автозаполнения от имени другого пользователя

Вендор

Codeium

Наименование ПО

Codeium Chrome

Версия ПО

до 1.2.52 включительно (Codeium Chrome)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование антивирусного программного обеспечения для отслеживания возможных попыток эксплуатации уязвимости;
- использование систем обнаружения и предотвращения вторжений для отслеживания индикаторов компрометации, указывающих на возможную эксплуатацию уязвимости.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 44%
0.00219
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-28120

CVSS3: 6.5
nvd
почти 2 года назад

codeium-chrome is an open source code completion plugin for the chrome web browser. The service worker of the codeium-chrome extension doesn't check the sender when receiving an external message. This allows an attacker to host a website that will steal the user's Codeium api-key, and thus impersonate the user on the backend autocomplete server. This issue has not been addressed. Users are advised to monitor the usage of their API key.

EPSS

Процентиль: 44%
0.00219
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2