| Vulnerability Name: | CVE-2016-5160 (CCN-116541) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Assigned: | 2016-08-31 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Published: | 2016-08-31 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Updated: | 2018-10-30 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Summary: | The AllowCrossRendererResourceLoad function in extensions/browser/url_request_util.cc in Google Chrome before 53.0.2785.89 on Windows and OS X and before 53.0.2785.92 on Linux does not properly use an extension's manifest.json web_accessible_resources field for restrictions on IFRAME elements, which makes it easier for remote attackers to conduct clickjacking attacks, and trick users into changing extension settings, via a crafted web site, a different vulnerability than CVE-2016-5162. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v3 Severity: | 6.5 Medium (CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N) 5.7 Medium (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N/E:U/RL:O/RC:C)
3.8 Low (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v2 Severity: | 4.3 Medium (CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Type: | CWE-254 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Consequences: | Bypass Security | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| References: | Source: MITRE Type: CNA CVE-2016-5160 Source: CCN Type: Google Chrome Releases Web site Stable Channel Update for Desktop Source: SUSE Type: UNKNOWN openSUSE-SU-2016:2250 Source: SUSE Type: UNKNOWN SUSE-SU-2016:2251 Source: SUSE Type: UNKNOWN openSUSE-SU-2016:2296 Source: SUSE Type: Third Party Advisory openSUSE-SU-2016:2349 Source: CCN Type: RHSA-2016-1854 Important: chromium-browser security update Source: REDHAT Type: UNKNOWN RHSA-2016:1854 Source: DEBIAN Type: UNKNOWN DSA-3660 Source: BID Type: UNKNOWN 92717 Source: CCN Type: BID-92717 Google Chrome Prior to 53.0.2785.89 Multiple Security Vulnerabilities Source: SECTRACK Type: UNKNOWN 1036729 Source: CONFIRM Type: Issue Tracking https://codereview.chromium.org/2007133004 Source: CONFIRM Type: Issue Tracking https://crbug.com/576867 Source: XF Type: UNKNOWN google-chrome-cve20165160-sec-bypass(116541) Source: CONFIRM Type: Vendor Advisory https://googlechromereleases.blogspot.com/2016/08/stable-channel-update-for-desktop_31.html Source: GENTOO Type: UNKNOWN GLSA-201610-09 Source: CCN Type: WhiteSource Vulnerability Database CVE-2016-5160 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerable Configuration: | Configuration 1: Configuration 2: Configuration CCN 1:  Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| BACK | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||