C'est une vulnérabilité zero day qui est exploitée et qui permet par exemple, à une personne malveillant de récupérer le token CSRF. Un patch de Chrome corrige le problème.
Posté par fearan .
Évalué à 4 (+1/-0).
Dernière modification le 23 février 2026 à 11:11.
Euh pour les gens qui ne savent pas ce qu'est un token CSRF, c'est, si j'ai bien compris, un secret généré coté serveur transmis au client pour que ce dernier puisse authentifier ses requêtes future au serveur.
Je suppose qu'en exfiltrant ce token, un autre utilisateur pourra se faire passer pour l'utilisateur.
Par contre soit le site est à la ramsse, soit c'est les dev frontend qui le sont
For years, frontend developers have treated CSS as fundamentally harmless. JavaScript gets the security audits, the CSP lockdowns, the sanitization libraries. CSS? It just makes things pretty. That assumption is wrong, and CVE-2026-2441 is the proof.
On avait déjà eu la fuite de site visité par CSS, j'appelle pas ça harmless History_sniffing, et ça avait plus de 15 ans :) Depuis on a comblé le trou, mais considérer que y'a pas de risque…
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Ouais, ensuite, faut encore injecter le css dans le site. C'est faisable sur certains sites, mais ça limite quand même pas mal l'impact.
Il faut aussi faire quelque chose du dit token CSRF car tout seul, il sert à rien, il faut aussi coupler ça avec une requête POST/GET qui va faire quelque chose.
Et l'article est assez léger sur "on a vu que y a des exploitations dans la nature", mais c'est assez attendu des vendeurs de solutions de sécurité qui veulent faire le buzz.
Je suppose qu'en exfiltrant ce token, un autre utilisateur pourra se faire passer pour l'utilisateur.
Non, le but est d'éviter qu'en allant sur example.org, l'opérateur du site puisse faire une requête GET/POST sur example.com via JS avec des effets sur example.com. Il y a normalement d'autres protections (CORS, etc), donc c'est aussi dépendant du site.
Je dit pas qu'il y a rien, mais ça semble quand même très spécifique et un peu long à mettre en place.
# Vulnérabilité Zero day exploitée
Posté par vitanix . Évalué à 2 (+1/-0).
C'est une vulnérabilité zero day qui est exploitée et qui permet par exemple, à une personne malveillant de récupérer le token CSRF. Un patch de Chrome corrige le problème.
L'article explique comment configurer le CSP pour éviter ce type d'attaques.
[^] # Re: Vulnérabilité Zero day exploitée
Posté par fearan . Évalué à 4 (+1/-0). Dernière modification le 23 février 2026 à 11:11.
Euh pour les gens qui ne savent pas ce qu'est un token CSRF, c'est, si j'ai bien compris, un secret généré coté serveur transmis au client pour que ce dernier puisse authentifier ses requêtes future au serveur.
Je suppose qu'en exfiltrant ce token, un autre utilisateur pourra se faire passer pour l'utilisateur.
Par contre soit le site est à la ramsse, soit c'est les dev frontend qui le sont
On avait déjà eu la fuite de site visité par CSS, j'appelle pas ça harmless History_sniffing, et ça avait plus de 15 ans :) Depuis on a comblé le trou, mais considérer que y'a pas de risque…
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Vulnérabilité Zero day exploitée
Posté par Misc (site web personnel) . Évalué à 4 (+1/-0).
Ouais, ensuite, faut encore injecter le css dans le site. C'est faisable sur certains sites, mais ça limite quand même pas mal l'impact.
Il faut aussi faire quelque chose du dit token CSRF car tout seul, il sert à rien, il faut aussi coupler ça avec une requête POST/GET qui va faire quelque chose.
Et l'article est assez léger sur "on a vu que y a des exploitations dans la nature", mais c'est assez attendu des vendeurs de solutions de sécurité qui veulent faire le buzz.
Non, le but est d'éviter qu'en allant sur example.org, l'opérateur du site puisse faire une requête GET/POST sur example.com via JS avec des effets sur example.com. Il y a normalement d'autres protections (CORS, etc), donc c'est aussi dépendant du site.
Je dit pas qu'il y a rien, mais ça semble quand même très spécifique et un peu long à mettre en place.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.