One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8397799 |
| Date de publication | 2023-10-19 15:15:09 (vue: 2023-10-19 17:08:38) |
| Titre | CVE-2023-5654 |
| Texte | L'extension React Developer Tools enregistre un auditeur de message avec Window.AddeventListener (\\ 'message \', ) dans un script de contenu accessible à toute page Web active dans le navigateur.Au sein de l'auditeur se trouve un code qui demande une URL dérivée du message reçu via fetch ().L'URL n'est pas validée ou désinfectée avant qu'elle ne soit récupérée, permettant ainsi à une page Web malveillante de récupérer arbitrairement URL & acirc; & euro; & échange via le navigateur de la victime.
The React Developer Tools extension registers a message listener with window.addEventListener(\'message\', ) in a content script that is accessible to any webpage that is active in the browser. Within the listener is code that requests a URL derived from the received message via fetch(). The URL is not validated or sanitised before it is fetched, thus allowing a malicious web page to arbitrarily fetch URL’s via the victim\'s browser. |
| Envoyé | Oui |
| Condensat | 2023 5654 accessible active addeventlistener allowing any arbitrarily before browser code content cve derived developer extension fetch fetched from listener malicious message not page react received registers requests sanitised script thus tools url url’s validated victim web webpage window within |
| Tags | Tool |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.