CRITICAL🇬🇧 English

CVE-2024-23168

RCE w XSOverlay — złośliwe polecenia przez WebSocket API

CVSS 9.8v3.1pub. 2024-08-15upd. 2026-04-15

Podatność w aplikacji XSOverlay (przed buildem 647) umożliwia nielokalnym stronom internetowym wysyłanie złośliwych poleceń do wewnętrznego WebSocket API. W efekcie atakujący może doprowadzić do wykonania dowolnego kodu na maszynie ofiary bez jej interakcji.

Pokaż oryginał (EN)

Vulnerability in Xiexe XSOverlay before build 647 allows non-local websites to send the malicious commands to the WebSocket API, resulting in the arbitrary code execution.

🤖 Analiza AI
Jak działa

XSOverlay udostępnia lokalne WebSocket API do komunikacji z aplikacją. Błąd polega na braku odpowiedniej weryfikacji źródła połączeń przychodzących (CWE-1385 — Missing Origin Validation in WebSockets), przez co zewnętrzne, nieloalne witryny internetowe mogą nawiązać połączenie z tym API. Atakujący może w ten sposób przesyłać złośliwe polecenia bezpośrednio do aplikacji działającej na komputerze użytkownika, co prowadzi do wykonania arbitralnego kodu.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnego kodu na urządzeniu ofiary, co może skutkować pełnym przejęciem kontroli nad systemem, kradzieżą danych lub instalacją złośliwego oprogramowania.

Mitygacja

Należy zaktualizować XSOverlay do buildu 647 lub nowszego. Szczegóły dostępne w oficjalnych referencjach producenta oraz w ogłoszeniu na platformie Steam.

Kogo dotyczy

XSOverlay autorstwa Xiexe we wszystkich wersjach przed buildem 647

Uwagi

Podatność została zgłoszona i opisana w serwisie vuln.ryotak.net (advisory nr 70). Producent wydał poprawkę w buildzie 647, informując użytkowników za pośrednictwem platformy Steam.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje