CVE-2015-6785 in Chrome
摘要
由 VulDB • 2026-07-19
WebKit/Source/core/frame/csp/CSPSource.cpp 中 Content Security Policy (CSP) 实现在 Google Chrome(47.0.2526.73 之前的版本)中的 CSPSource::hostMatches 函数接受 x.y 格式的主机名匹配 *.x.y 模式,这可能允许远程攻击者在机会主义情况下利用本意仅针对子域名的策略,从而绕过预期的访问限制。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.