Vulnerabilidad en codeium-chrome (CVE-2024-28120)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
11/03/2024
Última modificación:
26/02/2025
Descripción
codeium-chrome es un complemento de finalización de código fuente abierto para el navegador web Chrome. El trabajador de servicio de la extensión codeium-chrome no verifica al remitente cuando recibe un mensaje externo. Esto permite a un atacante alojar un sitio web que robará la clave API de Codeium del usuario y, por lo tanto, se hará pasar por el usuario en el servidor de autocompletar backend. Esta cuestión no se ha abordado. Se recomienda a los usuarios que supervisen el uso de su clave API.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:codeium:codeium:1.2.52:*:*:*:*:chrome:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Exafunction/codeium-chrome/security/advisories/GHSA-8c7j-2h97-q63p
- https://securitylab.github.com/advisories/GHSL-2024-027_GHSL-2024-028_codeium-chrome
- https://github.com/Exafunction/codeium-chrome/security/advisories/GHSA-8c7j-2h97-q63p
- https://securitylab.github.com/advisories/GHSL-2024-027_GHSL-2024-028_codeium-chrome