Mailvelope

Mailvelope

4 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
4.3

CVE-2019-9147

  • EPSS 0.25%
  • Veröffentlicht 09.07.2019 21:15:11
  • Zuletzt bearbeitet 21.11.2024 04:51:04

Mailvelope prior to 3.1.0 is vulnerable to a clickjacking attack against the settings page. As the settings page is intended to be accessible from web applications, the browser's extension isolation mechanisms are disabled (web_accessible_resources)....

4.3

CVE-2019-9148

Exploit
  • EPSS 0.27%
  • Veröffentlicht 09.07.2019 21:15:11
  • Zuletzt bearbeitet 21.11.2024 04:51:04

Mailvelope prior to 3.3.0 accepts or operates with invalid PGP public keys: Mailvelope allows importing keys that contain users without a valid self-certification. Keys that are obviously invalid are not rejected during import. An attacker that is ab...

6.5

CVE-2019-9149

Exploit
  • EPSS 0.11%
  • Veröffentlicht 09.07.2019 21:15:11
  • Zuletzt bearbeitet 21.11.2024 04:51:05

Mailvelope prior to 3.3.0 allows private key operations without user interaction via its client-API. By modifying an URL parameter in Mailvelope, an attacker is able to sign (and encrypt) arbitrary messages with Mailvelope, assuming the private key p...

5.3

CVE-2019-9150

  • EPSS 0.28%
  • Veröffentlicht 09.07.2019 21:15:11
  • Zuletzt bearbeitet 21.11.2024 04:51:05

Mailvelope prior to 3.3.0 does not require user interaction to import public keys shown on web page. This functionality can be tricked to either hide a key import from the user or obscure which key was imported.