Уязвимость выполнения произвольного кода через API "chrome.debugger" в Google Chrome при подключении к страницам Web UI в DevTools
Описание
Злоумышленник, который убедил пользователя установить вредоносное расширение, способен выполнить произвольный код, используя специально созданное расширение Chrome, благодаря возможности API chrome.debugger подключаться к страницам Web UI в DevTools.
Затронутые версии ПО
- Google Chrome до релиза 67.0.3396.62
Тип уязвимости
Выполнение произвольного кода
Ссылки
Уязвимые конфигурации
Одно из
EPSS
8.8 High
CVSS3
9.3 Critical
CVSS2
Дефекты
Связанные уязвимости
Allowing the chrome.debugger API to attach to Web UI pages in DevTools in Google Chrome prior to 67.0.3396.62 allowed an attacker who convinced a user to install a malicious extension to execute arbitrary code via a crafted Chrome Extension.
Allowing the chrome.debugger API to attach to Web UI pages in DevTools in Google Chrome prior to 67.0.3396.62 allowed an attacker who convinced a user to install a malicious extension to execute arbitrary code via a crafted Chrome Extension.
Allowing the chrome.debugger API to attach to Web UI pages in DevTools ...
Allowing the chrome.debugger API to attach to Web UI pages in DevTools in Google Chrome prior to 67.0.3396.62 allowed an attacker who convinced a user to install a malicious extension to execute arbitrary code via a crafted Chrome Extension.
Уязвимость компонента API расширения Debugger браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
EPSS
8.8 High
CVSS3
9.3 Critical
CVSS2