CVE-2018-25058
Twitter-Post-Fetcher Link Target twitterFetcher.js reverse tabnabbing
Em resumo
O Twitter-Post-Fetcher abre links sem proteção contra reverse tabnabbing, permitindo que páginas maliciosas acessem e controlem a aba do navegador original. Isso pode ser usado para redirecionar usuários para sites de phishing ou roubar informações de sessão.
Detalhe técnico
A vulnerabilidade existe no manipulador de Link Target do twitterFetcher.js onde links são abertos sem proteção rel="noopener noreferrer", permitindo ataques de reverse tabnabbing. Um atacante pode criar tweets maliciosos com links que, ao serem clicados, ganham acesso a window.opener para manipular a página original. Afeta versões do Twitter-Post-Fetcher até 17.x; corrigido na versão 18.0.0.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability classified as problematic has been found in Twitter-Post-Fetcher up to 17.x. This affects an unknown part of the file js/twitterFetcher.js of the component Link Target Handler. The manipulation leads to use of web link to untrusted target with window.opener access. It is possible to initiate the attack remotely. Upgrading to version 18.0.0 is able to address this issue. The name of the patch is 7d281c6fb5acbc29a2cad295262c1f0c19ca56f3. It is recommended to upgrade the affected component. The identifier VDB-217017 was assigned to this vulnerability.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:L
Produtos afetados
n/a · Twitter-Post-FetcherQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →