BDU:2025-05342

Опубликовано: 27 фев. 2025

Источник: fstec

CVSS3: 5.8

CVSS2: 5

EPSS Низкий

Описание

Уязвимость расширения MouseTooltipTranslator браузера Google Chrome связана с недостаточной проверкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку

Вендор

Google Inc

Наименование ПО

Google Chrome

Версия ПО

0.1.127 (Google Chrome)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,8)

Средний уровень опасности (оценка CVSS 4.0 составляет 6,9)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимости;

- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;

- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости;

- минимизация пользовательских привилегий;

- отключение/удаление неиспользуемых учётных записей пользователей.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-25303
CVE

EPSS

Процентиль: 37%

0.0016

Низкий

5.8 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

CVE-2025-25303

nvd

11 месяцев назад

The MouseTooltipTranslator Chrome extension allows mouseover translation of any language at once. The MouseTooltipTranslator browser extension is vulnerable to SSRF attacks. The pdf.mjs script uses the URL parameter from the current URL as the file to download and display to the extension user. Because pdf.mjs is imported in viewer.html and viewer.html is accessible to all URLs, an attacker can force the user’s browser to make a request to any arbitrary URL. After discussion with maintainer, patching this issue would require disabling a major feature of the extension in exchange for a low severity vulnerability. Decision to not patch issue.