Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en codeium-chrome (CVE-2024-28120)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
11/03/2024
Última modificación:
26/02/2025

Descripción

codeium-chrome es un complemento de finalización de código fuente abierto para el navegador web Chrome. El trabajador de servicio de la extensión codeium-chrome no verifica al remitente cuando recibe un mensaje externo. Esto permite a un atacante alojar un sitio web que robará la clave API de Codeium del usuario y, por lo tanto, se hará pasar por el usuario en el servidor de autocompletar backend. Esta cuestión no se ha abordado. Se recomienda a los usuarios que supervisen el uso de su clave API.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:codeium:codeium:1.2.52:*:*:*:*:chrome:*:*