Уязвимость некорректной реализации в Extensions API в Google Chrome, позволяющая получить доступ к кросс-доменным данным через специально созданное расширение Chrome
Описание
Уязвимость, вызванная некорректной реализацией в компоненте Extensions API в Google Chrome, позволяла злоумышленнику, убедившему пользователя установить вредоносное расширение, получить доступ к кросс-доменным данным (cross-origin data) через специально созданное расширение Chrome.
Затронутые версии ПО
- Google Chrome < 121.0.6167.85
Тип уязвимости
Утечка кросс-доменных данных (cross-origin data)
Уровень опасности
Низкий (Chromium security severity: Low)
Ссылки
- Release NotesVendor Advisory
- Permissions Required
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Release NotesVendor Advisory
- Permissions Required
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS3
Дефекты
Связанные уязвимости
Inappropriate implementation in Extensions API in Google Chrome prior to 121.0.6167.85 allowed an attacker who convinced a user to install a malicious extension to leak cross-origin data via a crafted Chrome Extension. (Chromium security severity: Low)
Chromium: CVE-2024-0811 Inappropriate implementation in Extensions API
Inappropriate implementation in Extensions API in Google Chrome prior ...
Inappropriate implementation in Extensions API in Google Chrome prior to 121.0.6167.85 allowed an attacker who convinced a user to install a malicious extension to leak cross-origin data via a crafted Chrome Extension. (Chromium security severity: Low)
Уязвимость компонента Extensions API браузеров Microsoft Edge и Google Chrome, позволяющая нарушителю получить доступ к конфиденциальной информации
EPSS
4.3 Medium
CVSS3