Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-15427

Опубликовано: 28 авг. 2018
Источник: nvd
CVSS3: 6.1
CVSS2: 4.3
EPSS Низкий

Уязвимость в Omnibox Google Chrome, позволяющая пользователю выполнить XSS атаку на самого себя через перетаскивание и вставку javascript: URL в адресную строку

Описание

В Google Chrome до версии 63.0.3239.84 недостаточное соблюдение политик безопасности в Omnibox позволяет злоумышленнику путем социальной инженерии вынудить пользователя выполнить XSS атаку на самого себя. Это происходит, когда пользователь перетаскивает и вставляет URL, начинающийся с javascript:, в адресную строку браузера.

Затронутые версии ПО

  • Google Chrome < 63.0.3239.84

Тип уязвимости

Межсайтовый скриптинг (XSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:google:chrome:*:*:*:*:*:*:*:*
Версия до 63.0.3239.84 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*
Конфигурация 3
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*

EPSS

Процентиль: 59%
0.00373
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2017-15427

CVSS3: 6.1
ubuntu
больше 7 лет назад

Insufficient policy enforcement in Omnibox in Google Chrome prior to 63.0.3239.84 allowed a socially engineered user to XSS themselves by dragging and dropping a javascript: URL into the URL bar.

redhat логотип

CVE-2017-15427

CVSS3: 4.3
redhat
около 8 лет назад

Insufficient policy enforcement in Omnibox in Google Chrome prior to 63.0.3239.84 allowed a socially engineered user to XSS themselves by dragging and dropping a javascript: URL into the URL bar.

debian логотип

CVE-2017-15427

CVSS3: 6.1
debian
больше 7 лет назад

Insufficient policy enforcement in Omnibox in Google Chrome prior to 6 ...

github логотип

GHSA-gg83-hqv8-6j9v

CVSS3: 6.1
github
больше 3 лет назад

Insufficient policy enforcement in Omnibox in Google Chrome prior to 63.0.3239.84 allowed a socially engineered user to XSS themselves by dragging and dropping a javascript: URL into the URL bar.

suse-cvrf логотип

openSUSE-SU-2017:3244-1

suse-cvrf
около 8 лет назад

Security update for chromium

EPSS

Процентиль: 59%
0.00373
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79