nvd
Mailvelope
Уязвимости
4
Эксплуатируемые
0
Критический
0
Высокий
0
Топ продуктов
Топ уязвимостей
CVE-2019-9149Mailvelope до версии 3.3.0 разрешает операции с закрытым ключом без взаимодействия с пользователем через свой клиентский API. Изменяя параметр URL в Mailvelope, злоумышленник может подписывать (и шифровать) произвольные сообщения с помощью Mailvelope, предполагая, что пароль закрытого ключа кэширован. Вторая уязвимость позволяет злоумышленнику расшифровать произвольное сообщение, когда в Mailvelope используется GnuPG backend.
CVE-2019-9150Mailvelope до версии 3.3.0 не требует взаимодействия с пользователем для импорта открытых ключей, отображаемых на веб-странице. Эту функциональность можно обмануть, чтобы либо скрыть импорт ключа от пользователя, либо скрыть, какой ключ был импортирован.
CVE-2019-9148Mailvelope до версии 3.3.0 принимает или работает с недействительными открытыми ключами PGP: Mailvelope позволяет импортировать ключи, содержащие пользователей без действительной самосертификации. Ключи, которые явно недействительны, не отклоняются во время импорта. Злоумышленник, который может заставить жертву импортировать подделанный ключ, может заявить, что подписал сообщение, исходящее от другого человека.
CVE-2019-9147Mailvelope до версии 3.1.0 уязвим для атаки clickjacking на страницу настроек. Поскольку страница настроек предназначена для доступа из веб-приложений, механизмы изоляции расширений браузера отключены (web_accessible_resources). Mailvelope реализует дополнительные меры для предотвращения непосредственного встраивания страницы настроек веб-приложениями, но этот механизм можно обойти.