Уязвимость недостаточного применения политик в Extensions API в Google Chrome, позволяющая обойти корпоративную политику через специально созданную HTML-страницу
Описание
Уязвимость, вызванная недостаточным применением политик в компоненте Extensions API в Google Chrome, позволяет злоумышленнику, убедившему пользователя установить вредоносное расширение, обойти корпоративную политику. Эксплуатация требует использования злоумышленником специально созданной HTML-страницы.
Затронутые версии ПО
- Google Chrome < 116.0.5845.96
Тип уязвимости
Обход корпоративной политики
Уровень опасности
Средний (Chromium security severity: Medium)
Ссылки
- Release NotesVendor Advisory
- Permissions Required
- Mailing ListThird Party Advisory
- Third Party Advisory
- Release NotesVendor Advisory
- Permissions Required
- Mailing ListThird Party Advisory
- Third Party Advisory
Уязвимые конфигурации
Одно из
EPSS
8.8 High
CVSS3
Дефекты
Связанные уязвимости
Insufficient policy enforcement in Extensions API in Google Chrome prior to 116.0.5845.96 allowed an attacker who convinced a user to install a malicious extension to bypass an enterprise policy via a crafted HTML page. (Chromium security severity: Medium)
Chromium: CVE-2023-4368 Insufficient policy enforcement in Extensions API
Insufficient policy enforcement in Extensions API in Google Chrome pri ...
Insufficient policy enforcement in Extensions API in Google Chrome prior to 116.0.5845.96 allowed an attacker who convinced a user to install a malicious extension to bypass an enterprise policy via a crafted HTML page. (Chromium security severity: Medium)
Уязвимость компонента Extensions API браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности
EPSS
8.8 High
CVSS3