Podatność w przeglądarce Whale przed wersją 4.35.351.12 umożliwia atakującemu ucieczkę z izolacji iframe sandbox w środowisku sidebar. Brak wymaganych uprawnień i interakcji użytkownika czyni tę lukę szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
Whale browser before 4.35.351.12 allows an attacker to escape the iframe sandbox in a sidebar environment.
Mechanizm sandbox dla elementów iframe powinien ograniczać możliwości kodu działającego wewnątrz osadzonej ramki, uniemożliwiając mu dostęp do zasobów nadrzędnego kontekstu przeglądarki. W opisywanym przypadku (CWE-358 — Improperly Implemented Security Check) weryfikacja ograniczeń sandboxu w środowisku sidebar jest nieprawidłowo zaimplementowana, co pozwala na jej ominięcie. Atakujący może skonstruować specjalnie spreparowaną stronę lub zawartość sidebar, aby wyrwać się poza izolowany kontekst iframe i uzyskać dostęp do zasobów, do których nie powinien mieć dostępu.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych oraz zmodyfikować zasoby lub dane poza izolowanym kontekstem iframe, co odpowiada wysokiemu wpływowi na poufność i integralność (CVSS C:H/I:H).
Należy zaktualizować przeglądarkę Whale do wersji 4.35.351.12 lub nowszej. Szczegółowe informacje dostępne są pod adresem: https://cve.naver.com/detail/cve-2025-69234.html
Navercorp Whale Browser we wszystkich wersjach przed 4.35.351.12.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NNavercorp Whale
APPNavercorp< 4.35.351.12
Powiązane podatności
Whale Browser: ucieczka z iframe sandbox w środowisku dual-tab
XSS w Whale Browser dla iOS — wykonanie złośliwych skryptów przez schemat javascript
Whale Bridge, a default extension in Whale browser before 3.12.129.18, allowed to receive any SendMessage requ...
Whale browser before 4.35.351.12 allows an attacker to bypass the Same-Origin Policy in a sidebar environment.
Whale browser before 4.33.325.17 allows an attacker to bypass the Same-Origin Policy in a dual-tab environment...