darkreader hasta 4.9.116 CSS File Parser setFetchMethod divulgación de información
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 3.2 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad clasificada como problemática fue encontrada en darkreader hasta 4.9.116. Se ve afectada una función desconocida del componente CSS File Parser. La manipulación conduce a divulgación de información. Esta vulnerabilidad está identificada como CVE-2025-68467. El ataque puede ser iniciado desde la red. Ningún exploit está disponible. Es recomendable actualizar el componente afectado.
Detalles
Una vulnerabilidad ha sido encontrada en darkreader hasta 4.9.116 y clasificada como problemática. La función setFetchMethod del componente CSS File Parser es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase divulgación de información. Esto tiene repercusión sobre la la confidencialidad. CVE resume:
Dark Reader es una extensión de navegador de accesibilidad que oscurece los colores de las páginas web. La característica de modo oscuro dinámico de la extensión funciona analizando los colores de las páginas web que se encuentran en los archivos de hojas de estilo CSS. Para analizar hojas de estilo de origen cruzado (almacenadas en sitios web diferentes de la página web original), Dark Reader solicita dichos archivos a través de un trabajador en segundo plano, asegurando que la solicitud se realice sin credenciales y que el tipo de contenido de la respuesta sea un archivo CSS. Antes de Dark Reader 4.9.117, este contenido de estilo se asignaba a un Elemento de Estilo HTML para analizar y recorrer las declaraciones de estilo, y también se almacenaba en el Almacenamiento de Sesión de la página para obtener mejoras de rendimiento. Esto podría permitir a un autor de un sitio web solicitar una hoja de estilo de un servidor web ejecutándose localmente, por ejemplo, teniendo un enlace que apunte a 'http[:]//localhost[:]8080/style[.]css'. La fuerza bruta del nombre de host, puerto y nombre de archivo sería poco probable debido al impacto en el rendimiento, lo que haría que la pestaña del navegador se congele brevemente, pero podría ser posible solicitar una hoja de estilo si la URL completa se conociera de antemano. A partir del 18 de diciembre de 2025, no se conoce ningún exploit del problema. El problema ha sido solucionado en la versión 4.9.117 el 3 de diciembre de 2025. Las hojas de estilo ahora se analizan utilizando la API moderna de Hojas de Estilo Construidas y el contenido de las hojas de estilo de origen cruzado ya no se almacena en el Almacenamiento de Sesión de la página. La versión 4.9.118 (8 de diciembre de 2025) restringe las solicitudes de origen cruzado a alias de localhost, direcciones IP, hosts con puertos y recursos no HTTPS. La mayoría absoluta de los usuarios ha recibido una actualización 4.1.117 o 4.9.118 automáticamente en una semana. Sin embargo, los usuarios deben asegurarse de que sus actualizaciones automáticas no estén bloqueadas y de que están utilizando la última versión de la extensión yendo a las páginas chrome://extensions o about:addons en la configuración del navegador. Los usuarios que utilizan compilaciones manuales deben actualizarse a la versión 4.9.118 y superiores. Los desarrolladores que utilizan el paquete NPM 'darkreader' para sus propios sitios web probablemente no se vean afectados, pero deben asegurarse de que la función pasada a 'setFetchMethod()' para realizar solicitudes de origen cruzado funcione dentro del alcance previsto. Los desarrolladores que utilizan bifurcaciones personalizadas de versiones anteriores de Dark Reader para construir otras extensiones o integrarlas en sus aplicaciones o navegadores deben asegurarse de que realizan solicitudes de origen cruzado de forma segura y de que las respuestas no son accesibles fuera de la aplicación o extensión.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2025-68467. Es difícil de explotar. El ataque puede ser realizado a través de la red. La explotación no requiere ninguna forma de autentificación. Hay detalles técnicos conocidos, pero no se dispone de un exploit.
Una actualización a la versión 4.9.117 elimina esta vulnerabilidad.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Producto
Nombre
Versión
Sitio web
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 3.2VulDB Puntuación meta temporal: 3.2
VulDB Puntuación base: 3.1
VulDB Puntuación temporal: 3.0
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍
CNA Puntuación base: 3.4
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍
Explotación
Clase: Divulgación de informaciónCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔒
Estado: No está definido
EPSS Score: 🔒
EPSS Percentile: 🔒
Predicción de precios: 🔍
Estimación del precio actual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔒
Actualización: darkreader 4.9.117
Línea de tiempo
2025-12-18 CVE asignado2026-03-05 Aviso publicado
2026-03-05 Entrada de VulDB creada
2026-03-19 Última actualización de VulDB
Fuentes
Producto: github.comAviso: GHSA-x369-mcw8-8rvj
Estado: Confirmado
CVE: CVE-2025-68467 (🔒)
GCVE (CVE): GCVE-0-2025-68467
GCVE (VulDB): GCVE-100-348866
Artículo
Fecha de creación: 2026-03-05 02:49Actualizado: 2026-03-19 13:49
Cambios: 2026-03-05 02:49 (65), 2026-03-19 13:49 (1)
Completo: 🔍
Cache ID: 216:3A8:103
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.