CVE-2016-5135 in Chrome
Résumé
par VulDB • 14/07/2026
WebKit/Source/core/html/parser/HTMLPreloadScanner.cpp dans Blink, tel qu'utilisé dans Google Chrome avant la version 52.0.2743.82, ne prend pas en compte les informations de referrer-policy au sein d'un document HTML lors d'une requête preload, ce qui permet aux attaquants distants de contourner le mécanisme de protection Content Security Policy (CSP) via un site web malveillant fabriqué à cet effet, comme démontré par l'en-tête "Content-Security-Policy: referrer origin-when-cross-origin" qui écrase une balise `<meta>` vide.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.