Katalog CVE

CVE-2025-69771

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność typu Cross-Site Scripting (XSS) w funkcji ładowania napisów rozszerzenia asbplayer dla przeglądarki Chrome w wersji 1.14.0 pozwala atakującym na wykonanie dowolnego kodu JavaScript w kontekście aktywnej platformy streamingowej za pomocą spreparowanego pliku napisów .srt. Skrypt wykonuje się w kontekście tej samej witryny, co umożliwia obejście ograniczeń między źródłami.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości nieautoryzowanych żądań API oraz wycieku danych sesji, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty poufnych informacji.

Rekomendacja

Zaleca się aktualizację rozszerzenia asbplayer do najnowszej wersji oraz monitorowanie i ograniczenie możliwości ładowania zewnętrznych plików napisów w aplikacjach streamingowych.

Oryginalny opis (angielski, źródło NVD)

Cross-Site Scripting (XSS) vulnerability in the subtitle loading function of the asbplayer Chrome Extension version 1.14.0 allows attackers to execute arbitrary JavaScript in the context of the active streaming platform via a crafted .srt subtitle file. Because the script executes within the same-site context, it can bypass cross-origin restrictions, leading to unauthorized same-site API requests and session data exfiltration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS