CVE-2025-68467 in darkreader
Resumen
Dark Reader es una extensión de navegador de accesibilidad que oscurece los colores de las páginas web. La característica de modo oscuro dinámico de la extensión funciona analizando los colores de las páginas web que se encuentran en los archivos de hojas de estilo CSS. Para analizar hojas de estilo de origen cruzado (almacenadas en sitios web diferentes de la página web original), Dark Reader solicita dichos archivos a través de un trabajador en segundo plano, asegurando que la solicitud se realice sin credenciales y que el tipo de contenido de la respuesta sea un archivo CSS. Antes de Dark Reader 4.9.117, este contenido de estilo se asignaba a un Elemento de Estilo HTML para analizar y recorrer las declaraciones de estilo, y también se almacenaba en el Almacenamiento de Sesión de la página para obtener mejoras de rendimiento. Esto podría permitir a un autor de un sitio web solicitar una hoja de estilo de un servidor web ejecutándose localmente, por ejemplo, teniendo un enlace que apunte a 'http[:]//localhost[:]8080/style[.]css'. La fuerza bruta del nombre de host, puerto y nombre de archivo sería poco probable debido al impacto en el rendimiento, lo que haría que la pestaña del navegador se congele brevemente, pero podría ser posible solicitar una hoja de estilo si la URL completa se conociera de antemano. A partir del 18 de diciembre de 2025, no se conoce ningún exploit del problema. El problema ha sido solucionado en la versión 4.9.117 el 3 de diciembre de 2025. Las hojas de estilo ahora se analizan utilizando la API moderna de Hojas de Estilo Construidas y el contenido de las hojas de estilo de origen cruzado ya no se almacena en el Almacenamiento de Sesión de la página. La versión 4.9.118 (8 de diciembre de 2025) restringe las solicitudes de origen cruzado a alias de localhost, direcciones IP, hosts con puertos y recursos no HTTPS. La mayoría absoluta de los usuarios ha recibido una actualización 4.1.117 o 4.9.118 automáticamente en una semana. Sin embargo, los usuarios deben asegurarse de que sus actualizaciones automáticas no estén bloqueadas y de que están utilizando la última versión de la extensión yendo a las páginas chrome://extensions o about:addons en la configuración del navegador. Los usuarios que utilizan compilaciones manuales deben actualizarse a la versión 4.9.118 y superiores. Los desarrolladores que utilizan el paquete NPM 'darkreader' para sus propios sitios web probablemente no se vean afectados, pero deben asegurarse de que la función pasada a 'setFetchMethod()' para realizar solicitudes de origen cruzado funcione dentro del alcance previsto. Los desarrolladores que utilizan bifurcaciones personalizadas de versiones anteriores de Dark Reader para construir otras extensiones o integrarlas en sus aplicaciones o navegadores deben asegurarse de que realizan solicitudes de origen cruzado de forma segura y de que las respuestas no son accesibles fuera de la aplicación o extensión.
Responsable
GitHub_M
Reservar
2025-12-18
Divulgación
2026-03-05
Voces
VulDB provides additional information and datapoints for this CVE:
| ID | Vulnerabilidad | CWE | Exp | Con | CVE |
|---|---|---|---|---|---|
| 348866 | darkreader CSS setFetchMethod divulgación de información | 200 | No está definido | Arreglo oficial | CVE-2025-68467 |