CVE-2025-69771
🟠 Łataj w tym tygodniu
Podatność XSS w rozszerzeniu asbplayer umożliwia atakującym wykonanie dowolnego JavaScriptu, co prowadzi do kradzieży danych sesji.
CVSS
9.6
EPSS
0.0%
Exploit
none
Vendor
killergerbah
Opis źródłowy (NVD)
Cross-Site Scripting (XSS) vulnerability in the subtitle loading function of the asbplayer Chrome Extension version 1.14.0 allows attackers to execute arbitrary JavaScript in the context of the active streaming platform via a crafted .srt subtitle file. Because the script executes within the same-site context, it can bypass cross-origin restrictions, leading to unauthorized same-site API requests and session data exfiltration.
xss
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.6 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-02-25 16:23:22 UTC |
| Ostatnia modyfikacja (NVD) | 2026-03-20 19:16:12 UTC |
Referencje
- https://github.com/killergerbah/asbplayer (cve@mitre.org)
- https://reve-offensive.tistory.com/35 (cve@mitre.org) [Third Party Advisory]