nvd
Navercorp
Уязвимости
22
Эксплуатируемые
0
Критический
4
Высокий
11
Топ уязвимостей
CVE-2025-62583Whale Browser до 4.33.325.17 позволяет злоумышленнику сбежать из песочницы iframe в среде с двумя вставками.
CVE-2025-53599Браузер Whale для iOS версий до 3.9.1.4206 позволяет злоумышленнику выполнить вредоносный скрипт в браузере с помощью специально созданной схемы javascript [1]. Для устранения уязвимости необходимо обновиться до версии 3.9.1.4206 или выше.
Источники:
- [1] https://cve.naver.com/detail/cve-2025-53599.html
CVE-2022-24074Whale Bridge, расширение по умолчанию в браузере Whale до версии 3.12.129.18, позволяло получать любой запрос SendMessage из самого контентного скрипта, что могло привести к управлению Whale Bridge, если процесс рендеринга скомпрометирован.
CVE-2025-69234Китовый браузер до 4.35.351.12 позволяет злоумышленнику избежать франшипной коробки в боковой панели.
CVE-2018-9859Путь службы обновления Whale не был заключен в кавычки в NAVER Whale до версии 1.0.40.7. Эта уязвимость может быть использована для постоянного повышения привилегий, если есть возможность создать исполняемый файл с привилегиями System другими уязвимыми приложениями.
CVE-2026-8148NAVER MYBOX Explorer для Windows до 3.0.11.160 позволяет локальному злоумышленнику увеличивать привилегии до NT AUTHORITY\SYSTEM с помощью манипуляций с реестром из-за ненадлежащих проверок привилегий.
CVE-2025-58322NAVER MYBOX Explorer для Windows до версии 3.0.8.133 позволяет локальному злоумышленнику повысить привилегии до NT AUTHORITY\SYSTEM путем выполнения произвольных команд из-за неправильной проверки привилегий. Рекомендуется обновить версию до 3.0.8.133 или более поздней. Источники:
- [1] https://cve.naver.com/detail/cve-2025-58322.html
CVE-2018-12449Установщик браузера Whale версии 0.4.3.0 и более ранних версий допускает перехват DLL.
CVE-2017-15913Установщик в Whale допускает перехват DLL.
CVE-2025-58323NAVER MYBOX Explorer для Windows до 3.0.8.133 позволяет локальному злоумышленнику настраивать привилегии на NT AUTHORITY\SYSTEM, выполняя произвольные файлы из-за ненадлежащей проверки привилегий.
CVE-2025-69235Китовый браузер до 4.35.351.12 позволяет злоумышленнику обойти Политику того же Происхождения в боковой панели.
CVE-2025-62585Китовый браузер до 4.33.325.17 позволяет злоумышленнику обойти Политику безопасности контента через определенную схему в среде с двумя вставками.
CVE-2025-62584Китовый браузер до 4.33.325.17 позволяет злоумышленнику обходить Политику того же самого назначения в среде с двумя вставками.
CVE-2025-53600Браузер Whale версий до 4.32.315.22 позволяет злоумышленнику обойти политику Same-Origin в среде с двумя вкладками. Это может привести к потенциальным уязвимостям безопасности, таким как доступ к конфиденциальным данным или выполнение вредоносного кода. Для предотвращения атаки рекомендуется обновить Whale Browser до версии 4.32.315.22 или позже [1].
Источники:
- [1] https://cve.naver.com/detail/cve-2025-53600.html
CVE-2022-24073API Web Request в браузере Whale до версии 3.12.129.18 позволял запретить доступ к магазину расширений или перенаправить на любой URL-адрес, когда пользователи получали доступ к магазину.
CVE-2022-24075Браузер Whale до версии 3.12.129.18 позволял расширениям заменять файлы JavaScript на веб-сайте просмотра HWP, который мог получить доступ к локальным файлам HWP. Когда файлы HWP открывались, замененный скрипт мог читать файлы.
CVE-2022-24072API devtools в браузере Whale до версии 3.12.129.18 позволял разработчикам расширений внедрять произвольный JavaScript на веб-страницу магазина расширений через devtools.inspectedWindow, что приводило к загрузке и выгрузке расширений, когда пользователи открывали инструмент разработчика.
CVE-2021-33593Браузер Whale для iOS до версии 1.14.0 имеет проблему несогласованного пользовательского интерфейса, которая позволяет злоумышленнику запутать адресную строку, что может привести к спуфингу адресной строки.
CVE-2020-9754Мобильное приложение NAVER Whale browser до версии 1.10.6.2 позволяет злоумышленнику обойти функцию разблокировки браузера через режим инкогнито.
CVE-2018-7635Whale Browser до версии 1.0.41.8 не отображает информацию об URL, а только заголовок веб-страницы в адресной строке браузера при посещении пустой страницы, что позволяет злоумышленнику отображать вредоносную веб-страницу с поддельным доменным именем.
CVE-2018-12448Whale Browser до версии 1.3.48.4 не отображает информацию об URL-адресе, а только заголовок веб-страницы в адресной строке браузера при посещении страницы, отличной от http, что позволяет злоумышленнику отображать вредоносную веб-страницу с поддельным доменным именем.
CVE-2022-24071Встроенное расширение в браузере Whale до версии 3.12.129.46 позволяет злоумышленникам скомпрометировать процесс рендеринга, что может привести к контролю над внутренними API браузера.