CRITICAL🇬🇧 English

CVE-2025-53599

XSS w Whale Browser dla iOS — wykonanie złośliwych skryptów przez schemat javascript

CVSS 9.8v3.1pub. 2025-07-04upd. 2025-10-01

Podatność w przeglądarce Whale Browser dla systemu iOS umożliwia atakującemu wykonanie złośliwych skryptów w kontekście przeglądarki poprzez spreparowany schemat javascript. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko, ponieważ atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

Whale browser for iOS before 3.9.1.4206 allow an attacker to execute malicious scripts in the browser via a crafted javascript scheme.

🤖 Analiza AI
Jak działa

Atakujący dostarcza ofierze specjalnie spreparowany URL lub treść zawierającą złośliwy schemat javascript. Przeglądarka Whale Browser dla iOS nieprawidłowo waliduje lub przetwarza taki schemat, co pozwala na wykonanie dowolnego kodu JavaScript w kontekście sesji przeglądarki. Mechanizm odpowiada klasycznej podatności XSS (Cross-Site Scripting), gdzie brak odpowiedniej filtracji wejścia umożliwia wstrzyknięcie i uruchomienie złośliwego skryptu.

Skutki

Atakujący może wykonać dowolny skrypt JavaScript w kontekście przeglądarki ofiary, co może prowadzić do kradzieży danych sesji, danych uwierzytelniających, a także naruszenia poufności i integralności danych przetwarzanych w przeglądarce.

Mitygacja

Należy zaktualizować Whale Browser dla iOS do wersji 3.9.1.4206 lub nowszej, dostępnej w App Store. Zaleca się niezwłoczne wdrożenie aktualizacji na wszystkich urządzeniach z systemem iOS, na których zainstalowana jest przeglądarka Whale.

Kogo dotyczy

Whale Browser dla iOS w wersjach przed 3.9.1.4206

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Navercorp Whale

    APP
    Navercorp
    < 3.9.1.4206
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2025-69234CRITICAL9.1PL ✓ten sam produkt

Whale Browser — ucieczka z iframe sandbox w środowisku sidebar

CVE-2025-62583CRITICAL9.8PL ✓ten sam produkt

Whale Browser: ucieczka z iframe sandbox w środowisku dual-tab

CVE-2022-24074CRITICAL9.8ten sam produkt

Whale Bridge, a default extension in Whale browser before 3.12.129.18, allowed to receive any SendMessage requ...

CVE-2025-69235HIGH7.5ten sam produkt

Whale browser before 4.35.351.12 allows an attacker to bypass the Same-Origin Policy in a sidebar environment.

CVE-2025-62584HIGH7.5ten sam produkt

Whale browser before 4.33.325.17 allows an attacker to bypass the Same-Origin Policy in a dual-tab environment...

CVE-2025-53599 — XSS w Whale Browser dla iOS — wykonanie złośliwych skryptów przez schemat javascript — CRITICAL 9.8 | CVEbaza.pl