Version 3.0.7 of the Securly Chrome Extension downloads config.json over HTTP and compiles server-provided patterns as JavaScript regular expressions via new RegExp() without complexity validation. An on-path attacker can inject specific patterns to cause catastrophic backtracking, resulting in denial of service on all browsing.
The Securly Chrome Extension version 3.0.7 downloads configuration over unencrypted HTTP and compiles untrusted regex patterns without validation, allowing attackers to inject malicious patterns causing denial of service. An on-path attacker can exploit this vulnerability to perform catastrophic backtracking attacks that freeze all browser activity.
ملحق Securly Chrome الإصدار 3.0.7 يحتوي على ثغرة أمان حرجة حيث يقوم بتحميل ملف config.json عبر بروتوكول HTTP غير المشفر. يقوم الملحق بتجميع الأنماط المرسلة من الخادم كتعبيرات نمطية JavaScript دون التحقق من تعقيدها، مما يسمح لمهاجم في موضع الاعتراض بحقن أنماط ضارة تسبب تراجعاً كارثياً وتجميد المتصفح بالكامل.
إصدار 3.0.7 من ملحق Securly Chrome يحمل الإعدادات عبر HTTP غير المشفر ويجمع أنماط regex غير موثوقة دون التحقق، مما يسمح للمهاجمين بحقن أنماط ضارة تسبب رفض الخدمة. يمكن لمهاجم في المسار اختراق هذه الثغرة لتنفيذ هجمات تراجع كارثية تجمد جميع نشاط المتصفح.
Immediately update Securly Chrome Extension to version 3.0.8 or later. Enforce HTTPS-only communication for configuration downloads. Implement regex complexity validation before compiling user-supplied patterns. Deploy network monitoring to detect HTTP traffic for extension updates. Review and restrict extension permissions in organizational policies.
قم بتحديث ملحق Securly Chrome فوراً إلى الإصدار 3.0.8 أو أحدث. فرض اتصالات HTTPS فقط لتحميل الإعدادات. تطبيق التحقق من تعقيد regex قبل تجميع الأنماط المزودة من المستخدم. نشر مراقبة الشبكة للكشف عن حركة HTTP لتحديثات الملحق. مراجعة وتقييد صلاحيات الملحق في السياسات التنظيمية.