Vulnerabilidad en Maxthon3 (CVE-2012-10032)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
05/08/2025
Última modificación:
07/08/2025
Descripción
Las versiones de Maxthon3 anteriores a la 3.3 son vulnerables a cross context scripting (XCS) a través de la página about:history. La zona de confianza del navegador gestiona incorrectamente el contenido del script inyectado, lo que permite a los atacantes ejecutar JavaScript arbitrario en un contexto privilegiado. Esta vulnerabilidad permite modificar la configuración del navegador y ejecutar código arbitrario a través de las API DOM expuestas de Maxthon, como maxthon.program.Program.launch() y maxthon.io.writeDataURL(). Su explotación requiere la interacción del usuario, generalmente visitando una página web maliciosa que activa la inyección.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- http://blog.malerisch.net/2012/12/maxthon-cross-context-scripting-xcs-about-history-rce.html
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/browser/maxthon_history_xcs.rb
- https://www.exploit-db.com/exploits/23225
- https://www.fortiguard.com/encyclopedia/ips/34203
- https://www.maxthon.com/
- https://www.vulncheck.com/advisories/maxthon3-xcs-trusted-zone-code-exec
- https://www.exploit-db.com/exploits/23225