CVE-2024-23168

CVSS 9.8 CRITICALEPSS 0.4%CWE-1385

En resumen

XSOverlay anterior a la compilación 647 permite que los sitios web que visitas envíen comandos maliciosos a través de su API WebSocket, permitiendo ejecutar cualquier código en tu computadora. Es crítico porque elude las protecciones de seguridad de la aplicación.

Detalle técnico

Control de acceso inadecuado en la API WebSocket de XSOverlay (CWE-1385) permite ejecución remota de código no autenticada desde cualquier sitio no local. El vector de ataque es basado en red, requiriendo solo interacción del usuario para visitar un sitio malicioso mientras XSOverlay se ejecuta; el impacto es ejecución arbitraria de código con privilegios de la aplicación.

Resumen generado y traducido por IA a partir de la descripción oficial.

Vulnerability in Xiexe XSOverlay before build 647 allows non-local websites to send the malicious commands to the WebSocket API, resulting in the arbitrary code execution.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/Xiexe/XSOverlay-Issue-Tracker https://store.steampowered.com/news/app/1173510?emclan=103582791465938574&emgid=7792991106417394332 https://vuln.ryotak.net/advisories/70