CVE-2018-25058
Twitter-Post-Fetcher Link Target twitterFetcher.js reverse tabnabbing
En resumen
Twitter-Post-Fetcher abre enlaces sin protección contra reverse tabnabbing, permitiendo que páginas maliciosas accedan y controlen la pestaña original del navegador. Esto puede usarse para redirigir usuarios a sitios de phishing o robar información de sesión.
Detalle técnico
La vulnerabilidad existe en el manejador de Link Target de twitterFetcher.js donde los enlaces se abren sin protección rel="noopener noreferrer", permitiendo ataques de reverse tabnabbing. Un atacante puede crear tweets maliciosos con enlaces que, al hacer clic, obtienen acceso a window.opener para manipular la página original. Afecta a versiones de Twitter-Post-Fetcher hasta 17.x; corregido en versión 18.0.0.
Resumen generado y traducido por IA a partir de la descripción oficial.
A vulnerability classified as problematic has been found in Twitter-Post-Fetcher up to 17.x. This affects an unknown part of the file js/twitterFetcher.js of the component Link Target Handler. The manipulation leads to use of web link to untrusted target with window.opener access. It is possible to initiate the attack remotely. Upgrading to version 18.0.0 is able to address this issue. The name of the patch is 7d281c6fb5acbc29a2cad295262c1f0c19ca56f3. It is recommended to upgrade the affected component. The identifier VDB-217017 was assigned to this vulnerability.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:L
Productos afectados
n/a · Twitter-Post-Fetcher¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →