Szafir SDK Web — это плагин для браузера, который может запускать приложение SzafirHost, которое при запуске загружает необходимые файлы. В Szafir SDK Web можно изменить URL-адрес (HTTP-источник) места вызова приложения. Злоумышленник, не прошедший проверку подлинности, может создать веб-сайт, способный запускать приложение SzafirHost с произвольными аргументами через надстройку веб-браузера Szafir SDK.
Никакая проверка не будет выполняться, чтобы проверить, связан ли каким-либо образом адрес, указанный в параметре document_base_url, с фактическим адресом вызывающего веб-приложения. URL-адрес, указанный в параметре document_base_url, затем отображается в запросе подтверждения приложения. Когда жертва подтвердит выполнение приложения, оно будет вызвано в контексте URL-адреса веб-сайта злоумышленника и может загрузить с этого веб-сайта дополнительные файлы и библиотеки.
Когда жертва соглашается на выполнение приложения для URL-адреса, показанного в запросе подтверждения с опцией «запомнить», запрос не будет отображаться, и приложение будет вызываться в контексте URL-адреса, предоставленного злоумышленником, без какого-либо взаимодействия. Эта проблема была исправлена в версии 0.0.17.4.
Показать оригинальное описание (EN)
Szafir SDK Web is a browser plug-in that can run SzafirHost application which download the necessary files when launched. In Szafir SDK Web it is possible to change the URL (HTTP Origin) of the application call location. An unauthenticated attacker can craft a website that is able to launch SzafirHost application with arbitrary arguments via Szafir SDK Web browser addon. No validation will be performed to check whether the address specified in `document_base_url` parameter is in any way related to the actual address of the calling web application. The URL address specified in `document_base_url` parameter is then shown in the application confirmation prompt. When a victim confirms the execution of the application, it will be called in the context of attacker's website URL and might download additional files and libraries from that website. When victim accepts the application execution for the URL showed in the confirmation prompt with the "remember" option before, the prompt won't be shown and the application will be called in the context of URL provided by the attacker without any interaction. This issue was fixed in version 0.0.17.4.
Характеристики атаки
Последствия
Строка CVSS v4.0