Уязвимость скачивания произвольных файлов в Google Chrome через некорректную обработку эмулированных JS-событий ввода
Описание
В браузере Google Chrome отсутствовала проверка симулированных с помощью JavaScript событий ввода в компоненте Blink. Это позволяло злоумышленнику скачивать произвольные файлы без какого-либо ввода со стороны пользователя через специально созданную HTML-страницу.
Затронутые версии ПО
- Google Chrome версий до 69.0.3497.81
Тип уязвимости
Скачивание произвольных файлов
Ссылки
Уязвимые конфигурации
Одно из
EPSS
6.5 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
A missing check for JS-simulated input events in Blink in Google Chrome prior to 69.0.3497.81 allowed a remote attacker to download arbitrary files with no user input via a crafted HTML page.
A missing check for JS-simulated input events in Blink in Google Chrome prior to 69.0.3497.81 allowed a remote attacker to download arbitrary files with no user input via a crafted HTML page.
A missing check for JS-simulated input events in Blink in Google Chrom ...
A missing check for JS-simulated input events in Blink in Google Chrome prior to 69.0.3497.81 allowed a remote attacker to download arbitrary files with no user input via a crafted HTML page.
EPSS
6.5 Medium
CVSS3
4.3 Medium
CVSS2