| タイトル | Securly, Inc.のSecurlyにおける信頼できない制御領域からの機能の組み込みに関する脆弱性 |
|---|---|
| 概要 | Securly Chrome拡張機能のバージョン3.0.7は、content13.min.jsをコンテンツスクリプトとしてchrome.scripting.registerContentScripts()を介して動的に登録します。このスクリプトはmanifest.jsonに宣言されておらず、Chromeウェブストアの静的なセキュリティレビューを回避します。すべてのURLで実行され、直ちにページのすべてのコンテンツを非表示にし、全画面オーバーレイを作成し、すべての動画を一時停止します。サービスワーカーがページがフィルタリングを通過したことを確認した場合にのみコンテンツが復元されます。Securlyのサーバーに接続できない場合、ページは無期限に非表示のままになります。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月3日0:00 |
| 登録日 | 2026年6月8日11:48 |
| 最終更新日 | 2026年6月8日11:48 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Securly, Inc. |
| Securly 3.0.7 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月08日] 掲載 |
2026年6月8日11:48 |
| 概要 | Version 3.0.7 of the Securly Chrome Extension dynamically registers content13.min.js as a content script via chrome.scripting.registerContentScripts() at runtime. This script is NOT declared in manifest.json and bypasses Chrome Web Store static security review. It runs on all URLs and immediately hides all page content, creates a full-page overlay, pauses all videos, and only restores content when the service worker confirms the page passes filtering. If Securly's servers are unreachable, pages remain indefinitely hidden. |
|---|---|
| 公表日 | 2026年6月4日4:16 |
| 登録日 | 2026年6月5日4:10 |
| 最終更新日 | 2026年6月5日3:41 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:securly:securly:3.0.7:*:*:*:*:chrome:*:* | |||||