CRITICAL🇬🇧 English

CVE-2025-62583

Whale Browser: ucieczka z iframe sandbox w środowisku dual-tab

CVSS 9.8v3.1pub. 2025-10-16upd. 2025-10-21

Podatność w przeglądarce Whale Browser umożliwia atakującemu ucieczkę z piaskownicy iframe w środowisku z dwoma zakładkami (dual-tab). Jest to krytyczna luka, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika, a jej wykorzystanie może prowadzić do pełnego naruszenia poufności, integralności i dostępności danych.

Pokaż oryginał (EN)

Whale Browser before 4.33.325.17 allows an attacker to escape the iframe sandbox in a dual-tab environment.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-358 (Improperly Implemented Security Check for Standard) polega na nieprawidłowej implementacji mechanizmu izolacji sandbox dla elementu iframe w kontekście środowiska dual-tab przeglądarki Whale. Atakujący może spreparować odpowiednie warunki w środowisku z dwoma zakładkami, które powodują, że ograniczenia nałożone przez sandbox iframe nie są prawidłowo egzekwowane. W efekcie kod uruchomiony wewnątrz izolowanej ramki może wyjść poza jej granice.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na ominięcie mechanizmów izolacji iframe sandbox, co może skutkować nieautoryzowanym dostępem do zasobów przeglądarki, danych innych kart lub wykonaniem niezamierzonego kodu poza środowiskiem sandbox.

Mitygacja

Należy jak najszybciej zaktualizować przeglądarkę Whale Browser do wersji 4.33.325.17 lub nowszej, w której podatność została naprawiona. Szczegółowe informacje dostępne są w referencjach producenta pod adresem https://cve.naver.com/detail/cve-2025-62583.html

Kogo dotyczy

Navercorp Whale Browser w wersjach wcześniejszych niż 4.33.325.17

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Navercorp Whale

    APP
    Navercorp
    < 4.33.325.17
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-69234CRITICAL9.1PL ✓ten sam produkt

Whale Browser — ucieczka z iframe sandbox w środowisku sidebar

CVE-2025-53599CRITICAL9.8PL ✓ten sam produkt

XSS w Whale Browser dla iOS — wykonanie złośliwych skryptów przez schemat javascript

CVE-2022-24074CRITICAL9.8ten sam produkt

Whale Bridge, a default extension in Whale browser before 3.12.129.18, allowed to receive any SendMessage requ...

CVE-2025-69235HIGH7.5ten sam produkt

Whale browser before 4.35.351.12 allows an attacker to bypass the Same-Origin Policy in a sidebar environment.

CVE-2025-62585HIGH7.5ten sam produkt

Whale browser before 4.33.325.17 allows an attacker to bypass the Content Security Policy via a specific schem...