Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-6109

Опубликовано: 09 янв. 2019
Источник: nvd
CVSS3: 6.5
CVSS2: 4.3
EPSS Низкий

Уязвимость доступа к данным файловой системы пользователя в Google Chrome через некорректную реализацию File API

Описание

Функция readAsText() в Google Chrome может бессрочно читать файл, выбранный пользователем, вместо того чтобы срабатывать только один раз в момент выбора файла. Это позволяет злоумышленнику получить доступ к данным на файловой системе пользователя без его явного согласия с помощью специально созданной HTML-страницы.

Затронутые версии ПО

  • Google Chrome версии до 66.0.3359.117

Тип уязвимости

Удаленный доступ к данным файловой системы

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:google:chrome:*:*:*:*:*:*:*:*
Версия до 66.0.3359.117 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*

EPSS

Процентиль: 74%
0.00797
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-200

Связанные уязвимости

ubuntu логотип

CVE-2018-6109

CVSS3: 6.5
ubuntu
около 7 лет назад

readAsText() can indefinitely read the file picked by the user, rather than only once at the time the file is picked in File API in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to access data on the user file system without explicit consent via a crafted HTML page.

redhat логотип

CVE-2018-6109

CVSS3: 4.3
redhat
почти 8 лет назад

readAsText() can indefinitely read the file picked by the user, rather than only once at the time the file is picked in File API in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to access data on the user file system without explicit consent via a crafted HTML page.

debian логотип

CVE-2018-6109

CVSS3: 6.5
debian
около 7 лет назад

readAsText() can indefinitely read the file picked by the user, rather ...

github логотип

GHSA-pcp9-rq8r-pwrj

CVSS3: 6.5
github
больше 3 лет назад

readAsText() can indefinitely read the file picked by the user, rather than only once at the time the file is picked in File API in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to access data on the user file system without explicit consent via a crafted HTML page.

suse-cvrf логотип

openSUSE-SU-2018:1042-1

suse-cvrf
почти 8 лет назад

Security update for chromium

EPSS

Процентиль: 74%
0.00797
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-200