CRITICAL🇬🇧 English

CVE-2025-69234

Whale Browser — ucieczka z iframe sandbox w środowisku sidebar

CVSS 9.1v3.1pub. 2025-12-30upd. 2026-01-13

Podatność w przeglądarce Whale przed wersją 4.35.351.12 umożliwia atakującemu ucieczkę z izolacji iframe sandbox w środowisku sidebar. Brak wymaganych uprawnień i interakcji użytkownika czyni tę lukę szczególnie niebezpieczną.

Pokaż oryginał (EN)

Whale browser before 4.35.351.12 allows an attacker to escape the iframe sandbox in a sidebar environment.

🤖 Analiza AI
Jak działa

Mechanizm sandbox dla elementów iframe powinien ograniczać możliwości kodu działającego wewnątrz osadzonej ramki, uniemożliwiając mu dostęp do zasobów nadrzędnego kontekstu przeglądarki. W opisywanym przypadku (CWE-358 — Improperly Implemented Security Check) weryfikacja ograniczeń sandboxu w środowisku sidebar jest nieprawidłowo zaimplementowana, co pozwala na jej ominięcie. Atakujący może skonstruować specjalnie spreparowaną stronę lub zawartość sidebar, aby wyrwać się poza izolowany kontekst iframe i uzyskać dostęp do zasobów, do których nie powinien mieć dostępu.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych oraz zmodyfikować zasoby lub dane poza izolowanym kontekstem iframe, co odpowiada wysokiemu wpływowi na poufność i integralność (CVSS C:H/I:H).

Mitygacja

Należy zaktualizować przeglądarkę Whale do wersji 4.35.351.12 lub nowszej. Szczegółowe informacje dostępne są pod adresem: https://cve.naver.com/detail/cve-2025-69234.html

Kogo dotyczy

Navercorp Whale Browser we wszystkich wersjach przed 4.35.351.12.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Navercorp Whale

    APP
    Navercorp
    < 4.35.351.12
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-62583CRITICAL9.8PL ✓ten sam produkt

Whale Browser: ucieczka z iframe sandbox w środowisku dual-tab

CVE-2025-53599CRITICAL9.8PL ✓ten sam produkt

XSS w Whale Browser dla iOS — wykonanie złośliwych skryptów przez schemat javascript

CVE-2022-24074CRITICAL9.8ten sam produkt

Whale Bridge, a default extension in Whale browser before 3.12.129.18, allowed to receive any SendMessage requ...

CVE-2025-69235HIGH7.5ten sam produkt

Whale browser before 4.35.351.12 allows an attacker to bypass the Same-Origin Policy in a sidebar environment.

CVE-2025-62584HIGH7.5ten sam produkt

Whale browser before 4.33.325.17 allows an attacker to bypass the Same-Origin Policy in a dual-tab environment...

CVE-2025-69234 — Whale Browser — ucieczka z iframe sandbox w środowisku sidebar — CRITICAL 9.1 | CVEbaza.pl