Podatność w aplikacji XSOverlay (przed buildem 647) umożliwia nielokalnym stronom internetowym wysyłanie złośliwych poleceń do wewnętrznego WebSocket API. W efekcie atakujący może doprowadzić do wykonania dowolnego kodu na maszynie ofiary bez jej interakcji.
▸ Pokaż oryginał (EN)
Vulnerability in Xiexe XSOverlay before build 647 allows non-local websites to send the malicious commands to the WebSocket API, resulting in the arbitrary code execution.
XSOverlay udostępnia lokalne WebSocket API do komunikacji z aplikacją. Błąd polega na braku odpowiedniej weryfikacji źródła połączeń przychodzących (CWE-1385 — Missing Origin Validation in WebSockets), przez co zewnętrzne, nieloalne witryny internetowe mogą nawiązać połączenie z tym API. Atakujący może w ten sposób przesyłać złośliwe polecenia bezpośrednio do aplikacji działającej na komputerze użytkownika, co prowadzi do wykonania arbitralnego kodu.
Atakujący uzyskuje możliwość wykonania dowolnego kodu na urządzeniu ofiary, co może skutkować pełnym przejęciem kontroli nad systemem, kradzieżą danych lub instalacją złośliwego oprogramowania.
Należy zaktualizować XSOverlay do buildu 647 lub nowszego. Szczegóły dostępne w oficjalnych referencjach producenta oraz w ogłoszeniu na platformie Steam.
XSOverlay autorstwa Xiexe we wszystkich wersjach przed buildem 647
Podatność została zgłoszona i opisana w serwisie vuln.ryotak.net (advisory nr 70). Producent wydał poprawkę w buildzie 647, informując użytkowników za pośrednictwem platformy Steam.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H