关键漏洞信息 漏洞名称: Insufficient Origin Validation in Proctorio Chrome Extension postMessage Handlers 报告ID: #46b61f36-b685-4667-aebf-82a67ad69ad6 目标: Proctorio Private Bug Bounty Program 状态: Resolved (Closed) 严重性: Low CVSS评分: AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N CVE编号: CVE-2026-2345 漏洞类型: Cross-Site Scripting (XSS) 弱点: CWE-346 Origin Validation Error 摘要 Proctorio Chrome Extension 包含多个 window.addEventListener('message', ...) 处理程序,这些处理程序没有正确验证传入消息的来源。具体来说,内部消息传递桥接基于 fromWebsite 属性的存在来处理消息,而没有验证 event.origin 属性,这导致与扩展功能的未经授权交互。 描述 Proctorio Chrome Extension 包含多个 window.addEventListener('message', ...) 处理程序,这些处理程序没有验证发送者的来源。具体来说,扩展的内部消息传递桥接中的一个监听器仅基于 fromWebsite 属性的存在接受消息,而没有验证 event.origin 属性。这允许恶意网页使用 window.open() 打开一个页面,在该页面上注入易受攻击的脚本,并将精心制作的 postMessage 有效负载发送到扩展的内容脚本,然后这些消息会被代理到特权的后台脚本。 影响 该漏洞允许攻击者从外部来源向扩展的后台脚本发送精心制作的 postMessage 有效负载。然而,实际影响显著有限: 易受攻击的代码仅存在于未公开页面上,用于从未公开功能,从未被搜索引擎索引。 研究人员和 Proctorio 确认没有发现能够禁用安全功能、暴露内部数据或操纵考试状态的有效负载。 该漏洞不能在用户进行在线考试期间执行。 没有演示绕过预考试检查(如 ID 验证或房间扫描)的路径。 该发现代表了对安全消息传递最佳实践的偏离(缺少来源验证),但没有演示具有安全影响的实际工作漏洞。 时间线 创建: 2025年10月14日4:10 PM 状态变更: 2025年10月16日9:31 AM 严重性变更: 2025年10月27日10:50 PM 解决: 2026年2月11日3:12:55 PM