Уязвимость недостаточного применения политик в DevTools в Google Chrome, позволяющая получить доступ к кросс-доменным данным через специально созданное расширение Chrome
Описание
Уязвимость, вызванная недостаточным применением политик в компоненте DevTools в Google Chrome, позволяла злоумышленнику, убедившему пользователя установить вредоносное расширение, получить доступ к кросс-доменным данным (cross-origin data) через специально созданное расширение Chrome.
Затронутые версии ПО
- Google Chrome < 121.0.6167.85
Тип уязвимости
Утечка кросс-доменных данных (cross-origin data)
Уровень опасности
Средний (Chromium security severity: Medium)
Ссылки
- Release NotesVendor Advisory
- Permissions Required
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Release NotesVendor Advisory
- Permissions Required
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
Уязвимые конфигурации
EPSS
4.3 Medium
CVSS3
Дефекты
Связанные уязвимости
Insufficient policy enforcement in DevTools in Google Chrome prior to 121.0.6167.85 allowed an attacker who convinced a user to install a malicious extension to leak cross-origin data via a crafted Chrome Extension. (Chromium security severity: Medium)
Chromium: CVE-2024-0810 Insufficient policy enforcement in DevTools
Insufficient policy enforcement in DevTools in Google Chrome prior to ...
Insufficient policy enforcement in DevTools in Google Chrome prior to 121.0.6167.85 allowed an attacker who convinced a user to install a malicious extension to leak cross-origin data via a crafted Chrome Extension. (Chromium security severity: Medium)
Уязвимость набора инструментов для веб-разработки DevTools браузеров Microsoft Edge и Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию
EPSS
4.3 Medium
CVSS3