CVE-2026-11326
ŚrednieCVSS 6.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 - wyżej niż 13% wszystkich znanych CVE
Streszczenie
OpenAI Atlas przed wersją 1.2025.288.15 ujawniał uprzywilejowane API przeglądarki dla treści webowych na domenach *.openai.com. Wykorzystanie podatności typu cross-site scripting na forum.openai.com mogło umożliwić dostęp do tych funkcji, co pozwalało na przeglądanie historii przeglądarki oraz otwieranie lub zamykanie kart.
Ocena ryzyka
Organizacja może być narażona na wyciek informacji o historii przeglądania oraz na nieautoryzowane manipulacje kartami przeglądarki, co może prowadzić do poważnych naruszeń prywatności użytkowników.
Rekomendacja
Zaleca się aktualizację OpenAI Atlas do wersji 1.2025.288.15 lub nowszej, aby ograniczyć dostęp do uprzywilejowanych API przeglądarki.
Oryginalny opis (angielski, źródło NVD)
OpenAI Atlas before 1.2025.288.15 exposed privileged browser APIs to web content on *.openai.com origins. A cross-site scripting vulnerability in forum.openai.com could be used to access these functions, allowing access to browser history information and the ability to open or close tabs. OpenAI Atlas 1.2025.288.15 narrows access to these APIs to *.chatgpt.com; users should upgrade to 1.2025.288.15 or later.

