Securly, Inc.のSecurlyにおける信頼できない制御領域からの機能の組み込みに関する脆弱性
| Title |
Securly, Inc.のSecurlyにおける信頼できない制御領域からの機能の組み込みに関する脆弱性
|
| Summary |
Securly Chrome拡張機能のバージョン3.0.7は、content13.min.jsをコンテンツスクリプトとしてchrome.scripting.registerContentScripts()を介して動的に登録します。このスクリプトはmanifest.jsonに宣言されておらず、Chromeウェブストアの静的なセキュリティレビューを回避します。すべてのURLで実行され、直ちにページのすべてのコンテンツを非表示にし、全画面オーバーレイを作成し、すべての動画を一時停止します。サービスワーカーがページがフィルタリングを通過したことを確認した場合にのみコンテンツが復元されます。Securlyのサーバーに接続できない場合、ページは無期限に非表示のままになります。
|
| Possible impacts |
・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 3, 2026, midnight |
| Registration Date |
June 8, 2026, 11:48 a.m. |
| Last Update |
June 8, 2026, 11:48 a.m. |
|
CVSS3.0 : 重要
|
| Score |
7.5
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Affected System
| Securly, Inc. |
|
Securly 3.0.7
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月08日]
掲載 |
June 8, 2026, 11:48 a.m. |
NVD Vulnerability Information
CVE-2026-8879
| Summary |
Version 3.0.7 of the Securly Chrome Extension dynamically registers content13.min.js as a content script via chrome.scripting.registerContentScripts() at runtime. This script is NOT declared in manifest.json and bypasses Chrome Web Store static security review. It runs on all URLs and immediately hides all page content, creates a full-page overlay, pauses all videos, and only restores content when the service worker confirms the page passes filtering. If Securly's servers are unreachable, pages remain indefinitely hidden.
|
| Publication Date |
June 4, 2026, 4:16 a.m. |
| Registration Date |
June 5, 2026, 4:10 a.m. |
| Last Update |
June 5, 2026, 3:41 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:securly:securly:3.0.7:*:*:*:*:chrome:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List