Суммирование до 0.15.1 содержит уязвимость в функции сводки на зависании, которая позволяет вредоносным страницам отправлять синтетические …
Суммирование до 0.15.1 содержит уязвимость в функции сводки на зависании, которая позволяет вредоносным страницам отправлять синтетические мышиные события по ссылкам, контролируемым злоумышленником, в результате чего расширение делает аутентифицированные запросы на демонов с использованием сохраненных токенов без проверки надежности событий. Злоумышленники могут размещать локальные или частные сетевые URL-адреса за движимыми ссылками для маршрутизации аутентифицированных запросов через демона, потенциально доступ к конфиденциальным внутренним конечным точкам, когда пользователи взаимодействуют с контролируемым злоумышленником контентом.
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →