CVE-2024-45489

Arc böngésző hozzáférés-ellenőrzési sérülékenysége
Angol cím: Arc Browser Access Control vulnerability

Publikálás dátuma: 2024.09.20.
Utolsó módosítás dátuma: 2024.09.26.


Leírás

A program nem, vagy nem megfelelően korlátozza az erőforrásokhoz való hozzáférést a jogosulatlan felhasználók részére.

Leírás forrása: CWE-284 Leírás utolsó módosítása: 2024.07.16.


Elemzés leírás

Eredeti nyelven:

Arc before 2024-08-26 allows remote code execution in JavaScript boosts. Boosts that run JavaScript cannot be shared by default, however (because of misconfigured Firebase ACLs), it is possible to create or update a boost using another users ID. This installs the boost in the victims browser and runs arbitrary Javascript on that browser in a privileged context. NOTE: this is a no-action cloud vulnerability with zero affected users.

Elemzés leírás forrása: CVE-2024-45489 Elemzés leírás utolsó módosítása: 2024.09.26.


Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

arc.net
kibty.town
news.ycombinator.com

Sérülékeny szoftverek

Arc böngésző 2024.08.26 előtti verziói


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-33072 – Microsoft msagsfeedback.azurewebsites.net Information Disclosure sebezhetősége
CVE-2025-30377 – Microsoft Office Remote Code Execution sebezhetősége
CVE-2024-57726 – SimpleHelp sebezhetősége
CVE-2024-57728 – SimpleHelp sebezhetősége
CVE-2025-20114 – Cisco Unified Intelligence Center Privilege Escalation sebezhetősége
CVE-2025-20113 – Cisco Unified Intelligence Center Privilege Escalation sebezhetősége
CVE-2025-20152 – Cisco Identity Services Engine RADIUS Denial of Service sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
Tovább a sérülékenységekhez »