PT-2022-16451 · Unknown · Whale Browser
Young Min Kim
·
Publicado
2022-03-17
·
Atualizado
2022-03-23
·
CVE-2022-24072
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do navegador Whale anteriores à 3.12.129.18
Descrição
O problema diz respeito à API devtools do navegador Whale, que permitia que desenvolvedores de extensões injetassem código JavaScript arbitrário na página da loja de extensões por meio de
devtools.inspectedWindow. Isso fazia com que extensões fossem baixadas e enviadas quando os usuários abriam a ferramenta de desenvolvedor.Recomendações
Para versões do navegador Whale anteriores à 3.12.129.18, atualize para a versão 3.12.129.18 ou posterior para resolver o problema.
Como solução temporária, considere desativar o uso da API devtools até que um patch esteja disponível.
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Whale Browser