Уязвимость обхода политики безопасности контента (CSP) в CORS в Google Chrome через установку вредоносного расширения
Описание
Недостаточная проверка данных в механизме CORS в Google Chrome позволяет злоумышленнику, убедившему пользователя установить вредоносное расширение, обойти политику безопасности контента.
Затронутые версии ПО
- Google Chrome версии до 76.0.3809.87
Тип уязвимости
Обход политики безопасности контента (CSP)
Уязвимые конфигурации
EPSS
4.3 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Insufficient data validation in CORS in Google Chrome prior to 76.0.3809.87 allowed an attacker who convinced a user to install a malicious extension to bypass content security policy via a crafted Chrome Extension.
Insufficient data validation in CORS in Google Chrome prior to 76.0.3809.87 allowed an attacker who convinced a user to install a malicious extension to bypass content security policy via a crafted Chrome Extension.
Insufficient data validation in CORS in Google Chrome prior to 76.0.38 ...
Insufficient data validation in CORS in Google Chrome prior to 76.0.3809.87 allowed an attacker who convinced a user to install a malicious extension to bypass content security policy via a crafted Chrome Extension.
Уязвимость веб-браузера Google Chrome, связанная с некорректной фильтрацией портов в CORS, позволяющая нарушителю обойти существующие ограничения безопасности
EPSS
4.3 Medium
CVSS3
4.3 Medium
CVSS2