Katalog CVE

CVE-2026-45244

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

Wtyczka Summarize przed wersją 0.15.1 zawiera brak autoryzacji, umożliwiający atakującym wykonywanie automatyzacji przeglądarki bez zgody użytkownika na każde wywołanie, gdy funkcja automatyzacji rozszerzenia jest włączona. Atakujący mogą wpływać na agenta poprzez złośliwą stronę lub treść podsumowania, aby wywołać włączone narzędzia automatyzacji rozszerzenia, takie jak nawigacja lub akcje oparte na debuggerze, omijając końcowy krok zatwierdzenia przez użytkownika podczas interakcji z treścią kontrolowaną przez atakującego.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowane działania automatyzacji przeglądarki, które mogą prowadzić do kradzieży danych, modyfikacji treści lub eskalacji uprawnień w kontekście przeglądarki użytkownika.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Summarize do wersji 0.15.1 lub nowszej oraz wyłączyć funkcję automatyzacji rozszerzenia, jeśli nie jest niezbędna.

Oryginalny opis (angielski, źródło NVD)

Summarize prior to 0.15.1 contains a missing authorization vulnerability that allows attackers to execute browser automation actions without per-call user approval when the extension automation feature is enabled. Attackers can influence the agent through malicious page or summary content to invoke enabled extension automation tools such as navigation or debugger-backed actions, bypassing the final user approval step when a user interacts with attacker-controlled content.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS