Уязвимость установки сервис-воркера для домена через недостаточно строгую проверку происхождения при установке платежного приложения в Google Chrome
Описание
Недостаточно строгие проверки происхождения во время установки JIT платежных приложений в Google Chrome позволяют злоумышленнику установить сервис-воркер для домена, который может размещать файлы, контролируемые злоумышленником, посредством специально созданной HTML-страницы.
Затронутые версии ПО
- Google Chrome < 70.0.3538.67
Тип уязвимости
Удалённое выполнение кода
Уязвимые конфигурации
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Insufficiently strict origin checks during JIT payment app installation in Payments in Google Chrome prior to 70.0.3538.67 allowed a remote attacker to install a service worker for a domain that can host attacker controled files via a crafted HTML page.
Insufficiently strict origin checks during JIT payment app installatio ...
Insufficiently strict origin checks during JIT payment app installation in Payments in Google Chrome prior to 70.0.3538.67 allowed a remote attacker to install a service worker for a domain that can host attacker controled files via a crafted HTML page.
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2