Уязвимость обхода политики SameSite для файлов cookie в Google Chrome через некорректную проверку родительских фреймов при отправке lax файлов cookie
Описание
В Google Chrome до релиза 71.0.3578.80 обнаружена уязвимость, которая позволяет злоумышленнику обойти политику SameSite для файлов cookie. Это становится возможным из-за некорректной проверки сайтов родительских фреймов при отправке lax файлов cookie с использованием специально сформированной HTML-страницы.
Затронутые версии ПО
- Google Chrome < 71.0.3578.80
Тип уязвимости
Обход политики SameSite для файлов cookie
Ссылки
Уязвимые конфигурации
Одно из
EPSS
6.5 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Lack of proper validation of ancestor frames site when sending lax cookies in Navigation in Google Chrome prior to 71.0.3578.80 allowed a remote attacker to bypass SameSite cookie policy via a crafted HTML page.
Lack of proper validation of ancestor frames site when sending lax cookies in Navigation in Google Chrome prior to 71.0.3578.80 allowed a remote attacker to bypass SameSite cookie policy via a crafted HTML page.
Lack of proper validation of ancestor frames site when sending lax coo ...
Lack of proper validation of ancestor frames site when sending lax cookies in Navigation in Google Chrome prior to 71.0.3578.80 allowed a remote attacker to bypass SameSite cookie policy via a crafted HTML page.
Уязвимость браузера Google Chrome, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю обойти политику Cookie SameSite
EPSS
6.5 Medium
CVSS3
4.3 Medium
CVSS2