CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-8888

HighCVSS 7.5
Published: Updated: Translated: NVD NIST

Summary

Wersja 3.0.7 rozszerzenia Securly dla Chrome pobiera plik config.json przez HTTP i kompiluje wzorce dostarczane przez serwer jako wyrażenia regularne JavaScript za pomocą new RegExp() bez walidacji złożoności. Atakujący mogą wstrzykiwać specyficzne wzorce, co prowadzi do katastrofalnego cofania, skutkując odmową usługi podczas przeglądania.

Risk Assessment

Organizacja może doświadczyć odmowy usługi, co wpłynie na dostępność usług przeglądarki dla użytkowników. Atakujący mogą wykorzystać tę podatność do zakłócenia normalnego działania systemu.

Recommendation

Zaleca się aktualizację rozszerzenia Securly do najnowszej wersji, która eliminuje tę podatność oraz wdrożenie zabezpieczeń, które uniemożliwią pobieranie plików konfiguracyjnych przez HTTP.

Original NVD description (English source)

Version 3.0.7 of the Securly Chrome Extension downloads config.json over HTTP and compiles server-provided patterns as JavaScript regular expressions via new RegExp() without complexity validation. An on-path attacker can inject specific patterns to cause catastrophic backtracking, resulting in denial of service on all browsing.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS