Las versiones anteriores a la 1.41 de la extensión Claude para Chrome presentan una vulnerabilidad de inyección de mensajes de alto riesgo y deben actualizarse de inmediato.
Según GoPlus, que cita el informe de Koi, la extensión Claude para Chrome, de Anthropic, presenta una vulnerabilidad de inyección de mensajes de alto riesgo que afecta a todas las versiones de la extensión anteriores a la 1.41.
Los atacantes pueden crear páginas web maliciosas que cargan silenciosamente en segundo plano un iframe que contiene una vulnerabilidad de secuencias de comandos entre sitios (XSS) y ejecutan cargas útiles maliciosas dentro del subdominio a-cdn.claude.ai. Dado que este subdominio se encuentra en la lista blanca de confianza de la extensión, los atacantes pueden enviar directamente mensajes maliciosos a la extensión Claude y ejecutarlos automáticamente, sin ninguna autorización del usuario ni clics, dejando a la víctima sin que se dé cuenta. Esta vulnerabilidad puede permitir a los atacantes manipular la extensión Claude para leer los documentos de Google Drive de los usuarios, robar tokens de acceso empresariales o exportar registros de chat, y también puede tomar el control de la sesión actual del navegador para realizar operaciones delicadas, como enviar correos electrónicos en nombre de la víctima. GoPlus recomienda a los usuarios que actualicen inmediatamente la extensión Claude a la versión 1.41 o superior y que se mantengan alerta ante los enlaces de phishing.
