Katalog CVE

CVE-2026-8888

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wersja 3.0.7 rozszerzenia Securly dla Chrome pobiera plik config.json przez HTTP i kompiluje wzorce dostarczane przez serwer jako wyrażenia regularne JavaScript za pomocą new RegExp() bez walidacji złożoności. Atakujący mogą wstrzykiwać specyficzne wzorce, co prowadzi do katastrofalnego cofania, skutkując odmową usługi podczas przeglądania.

Ocena ryzyka

Organizacja może doświadczyć odmowy usługi, co wpłynie na dostępność usług przeglądarki dla użytkowników. Atakujący mogą wykorzystać tę podatność do zakłócenia normalnego działania systemu.

Rekomendacja

Zaleca się aktualizację rozszerzenia Securly do najnowszej wersji, która eliminuje tę podatność oraz wdrożenie zabezpieczeń, które uniemożliwią pobieranie plików konfiguracyjnych przez HTTP.

Oryginalny opis (angielski, źródło NVD)

Version 3.0.7 of the Securly Chrome Extension downloads config.json over HTTP and compiles server-provided patterns as JavaScript regular expressions via new RegExp() without complexity validation. An on-path attacker can inject specific patterns to cause catastrophic backtracking, resulting in denial of service on all browsing.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS