Уязвимость утечки кросс-доменных данных в Google Chrome через некорректную реализацию Background Fetch API
Описание
Некорректная реализация Background Fetch API в Google Chrome позволяет злоумышленнику, который скомпрометировал процесс рендеринга, получать данные из кросс-доменных источников с помощью специально созданной HTML-страницы.
Затронутые версии ПО
- Google Chrome < 94.0.4606.54
Тип уязвимости
Утечка данных
Ссылки
- Release NotesVendor Advisory
- Permissions RequiredVendor Advisory
- Third Party Advisory
- Release NotesVendor Advisory
- Permissions RequiredVendor Advisory
- Third Party Advisory
Уязвимые конфигурации
Одно из
Одно из
EPSS
4.3 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Inappropriate implementation in Background Fetch API in Google Chrome prior to 94.0.4606.54 allowed a remote attacker who had compromised the renderer process to leak cross-origin data via a crafted HTML page.
Chromium: CVE-2021-37967 Inappropriate implementation in Background Fetch API
Inappropriate implementation in Background Fetch API in Google Chrome ...
Inappropriate implementation in Background Fetch API in Google Chrome prior to 94.0.4606.54 allowed a remote attacker who had compromised the renderer process to leak cross-origin data via a crafted HTML page.
Уязвимость программного интерфейса Background Fetch API браузера Google Chrome , связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
4.3 Medium
CVSS3
4.3 Medium
CVSS2