CVE-2022-4025

Опубликовано: 02 янв. 2023

Источник: nvd

CVSS3: 4.3

EPSS Низкий

Уязвимость утечки кросс-доменных данных в Google Chrome из-за некорректной реализации функции "Paint"

Описание

Некорректная реализация функции Paint в Google Chrome позволяет злоумышленнику осуществить утечку кросс-доменных данных за пределы iframe, используя специально созданную HTML-страницу.

Затронутые версии ПО

Google Chrome до релиза 98.0.4758.80

Тип уязвимости

Утечка данных

Уровень безопасности

Низкий (Chrome security severity: Low)

Ссылки

https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop.html
Release Notes
Vendor Advisory
https://crbug.com/1260250
Exploit
Issue Tracking
Permissions Required
Vendor Advisory
https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop.html
Release Notes
Vendor Advisory
https://crbug.com/1260250
Exploit
Issue Tracking
Permissions Required
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:google:chrome:*:*:*:*:*:*:*:*

Версия до 98.0.4758.80 (исключая)

EPSS

Процентиль: 43%

0.00211

Низкий

4.3 Medium

CVSS3

Дефекты

NVD-CWE-noinfo

CWE-203

Связанные уязвимости

CVE-2022-4025

CVSS3: 4.3

ubuntu

около 3 лет назад

Inappropriate implementation in Paint in Google Chrome prior to 98.0.4758.80 allowed a remote attacker to leak cross-origin data outside an iframe via a crafted HTML page. (Chrome security severity: Low)

CVE-2022-4025

CVSS3: 4.3

debian

около 3 лет назад

Inappropriate implementation in Paint in Google Chrome prior to 98.0.4 ...

GHSA-wv48-pvf9-qv86

CVSS3: 4.3

github

около 3 лет назад

EPSS

Процентиль: 43%

0.00211

Низкий

4.3 Medium

CVSS3

Дефекты

NVD-CWE-noinfo

CWE-203