Уязвимость утечки информации о реферере в XSS Auditor в Google Chrome через загрузку HTML-страниц
Описание
В XSS Auditor в Google Chrome до версии 64.0.3282.119 отсутствовала проверка, чтобы URL-адрес отчета находился в том же источнике, что и страница, на которой он был размещен. Это позволяло злоумышленнику получить данные о реферере через специально созданную HTML-страницу.
Затронутые версии ПО
- Google Chrome версий до 64.0.3282.119
Тип уязвимости
Утечка информации
Ссылки
Уязвимые конфигурации
Одно из
Одно из
EPSS
4.3 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
XSS Auditor in Google Chrome prior to 64.0.3282.119, did not ensure the reporting URL was in the same origin as the page it was on, which allowed a remote attacker to obtain referrer details via a crafted HTML page.
XSS Auditor in Google Chrome prior to 64.0.3282.119, did not ensure the reporting URL was in the same origin as the page it was on, which allowed a remote attacker to obtain referrer details via a crafted HTML page.
XSS Auditor in Google Chrome prior to 64.0.3282.119, did not ensure th ...
XSS Auditor in Google Chrome prior to 64.0.3282.119, did not ensure the reporting URL was in the same origin as the page it was on, which allowed a remote attacker to obtain referrer details via a crafted HTML page.
EPSS
4.3 Medium
CVSS3
4.3 Medium
CVSS2