CVE-2024-42366

VRCX is an assistant/companion application for VRChat. In versions prior to 2024.03.23, a CefSharp browser with over-permission and cross-site scripting via overlay notification can be combined to result in remote command execution. These vulnerabilities are patched in VRCX 2023.12.24. In addition to the patch, VRCX maintainers worked with the VRC team and blocked the older version of VRCX on the VRC's API side. Users who use the older version of VRCX must update their installation to continue using VRCX.
Configurations

Configuration 1 (hide)

cpe:2.3:a:vrcx-team:vrcx:*:*:*:*:*:*:*:*

History

29 Aug 2024, 14:04

Type Values Removed Values Added
Summary
  • (es) VRCX es una aplicación asistente/complementaria para VRChat. En versiones anteriores a la 2024.03.23, se puede combinar un navegador CefSharp con permisos excesivos y cross-site scripting mediante notificación superpuesta para dar como resultado la ejecución remota de comandos. Estas vulnerabilidades están parcheadas en VRCX 2023.12.24. Además del parche, los fabricantes de VRCX trabajaron con el equipo de VRC y bloquearon la versión anterior de VRCX en el lado API de VRC. Los usuarios que usan la versión anterior de VRCX deben actualizar su instalación para continuar usando VRCX.
References () https://github.com/vrcx-team/VRCX/commit/cd2387aa3289f936ce60049121c24b0765bd4180 - () https://github.com/vrcx-team/VRCX/commit/cd2387aa3289f936ce60049121c24b0765bd4180 - Patch
References () https://github.com/vrcx-team/VRCX/security/advisories/GHSA-j98g-mgjm-wqph - () https://github.com/vrcx-team/VRCX/security/advisories/GHSA-j98g-mgjm-wqph - Vendor Advisory
First Time Vrcx-team
Vrcx-team vrcx
CPE cpe:2.3:a:vrcx-team:vrcx:*:*:*:*:*:*:*:*

08 Aug 2024, 17:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-08-08 17:15

Updated : 2024-08-29 14:04


NVD link : CVE-2024-42366

Mitre link : CVE-2024-42366

CVE.ORG link : CVE-2024-42366


JSON object : View

Products Affected

vrcx-team

  • vrcx
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

CWE-269

Improper Privilege Management