CVE-2024-45489

Arc böngésző hozzáférés-ellenőrzési sérülékenysége
Angol cím: Arc Browser Access Control vulnerability

Publikálás dátuma: 2024.09.20.
Utolsó módosítás dátuma: 2024.09.26.


Leírás

A program nem, vagy nem megfelelően korlátozza az erőforrásokhoz való hozzáférést a jogosulatlan felhasználók részére.

Leírás forrása: CWE-284 Leírás utolsó módosítása: 2024.07.16.


Elemzés leírás

Eredeti nyelven:

Arc before 2024-08-26 allows remote code execution in JavaScript boosts. Boosts that run JavaScript cannot be shared by default, however (because of misconfigured Firebase ACLs), it is possible to create or update a boost using another users ID. This installs the boost in the victims browser and runs arbitrary Javascript on that browser in a privileged context. NOTE: this is a no-action cloud vulnerability with zero affected users.

Elemzés leírás forrása: CVE-2024-45489 Elemzés leírás utolsó módosítása: 2024.09.26.


Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.8 (Kritikus)
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9


Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

arc.net
kibty.town
news.ycombinator.com

Sérülékeny szoftverek

Arc böngésző 2024.08.26 előtti verziói


Legfrissebb sérülékenységek
CVE-2024-8396 – deepjavalibrary/djl sérülékenysége
CVE-2024-7010 – mudler/localai sérülékenysége
CVE-2024-5982 – gaizhenbiao/chuanhuchatgpt sérülékenysége
CVE-2024-7475 – lunary-ai/lunary sérülékenysége
CVE-2024-7474 – lunary-ai/lunary sérülékenysége
CVE-2024-7473 – lunary-ai/lunary sérülékenysége
CVE-2024-6983 – mudler/localai sérülékenysége
CVE-2024-20481 – Cisco ASA és FTD sérülékenysége
CVE-2024-47575 – Fortinet FortiManager sérülékenysége
CVE-2024-9537 – ScienceLogic SL1 sérülékenysége
Tovább a sérülékenységekhez »