Vulnérabilité dans McAfee WebAdvisor
Date de publication :
Une vulnérabilité de type XSS (“cross-site scripting”) a été découverte dans McAfee WebAdvisor, une extension pour Mozilla Firefox et Google Chrome affichant des notifications lorsque l’utilisateur se rend sur un site dangereux. Un attaquant distant exploitant cette vulnérabilité peut exécuter du code arbitraire sur le navigateur de la victime.
CVE-2019-3670 [Score CVSS v3 : 8.0] : Une vulnérabilité de type XSS a été découverte dans McAfee WebAdvisor. En effet, l’extension ne gère pas certains scripts de manière sécurisée, permettant à un attaquant d’y injecter son propre code afin d’exécuter des opérations arbitraires, pouvant mener à une obtention de privilèges administrateurs en cas d’exploitation d’une autre faille.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Obtention de privilèges administrateur (dans des cas exceptionnels)
Criticité
- Score CVSS v3 : 8.0
Existence d’un code d’exploitation
- Pas de code d’exploitation disponible publiquement pour l’instant
Composants vulnérables
- Extension WebAdvisor Chrome jusqu’à la version 8.0.34745 incluse
- Extension WebAdvisor Firefox jusqu’à la version 8.0.0.34239 incluse
CVE
- CVE-2019-3670
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour l’extension WebAdvisor vers une version non vulnérable:
- 8.0.0.37123 si utilisant Google Chrome
- 8.0.0.37627 si utilisant Mozilla Firefox
Solution de contournement
- Aucune solution de contournement n’est disponible, la désactivation de l’extension pouvant cependant être envisagée