Okta 浏览器插件易受反射式跨站点脚本攻击

Okta 浏览器插件可在Edge、Chrome、Safari 和Firefox 等多种浏览器上使用。综合所有这些浏览器，该插件拥有超过 500 万用户。然而，该插件被发现存在跨站点脚本漏洞，可能允许威胁行为者执行任意 Javascript 代码。 Okta 迅速采取行动，并发布了安全公告来解决此漏洞。Chrome、Edge、Firefox 和 Safari 的Okta 浏览器插件 6.5.0 至 6.31.0 版本被确定为影响该问题。

                                                                                                      Okta 浏览器插件漏洞
        根据 Okta 公告，此漏洞编号为CVE-2024-0981，其严重性为7.1（高）。  当用户输入新凭据时，就会出现此缺陷，插件会提示用户使用Okta Personal 保存凭据。但是，如果用于启用多账户视图的浏览器插件中未添加Okta Personal，则此漏洞不会影响 Workforce Identity Cloud 用户。
        此外，Okta Admin 用户可以运行以下查询来搜索仍在使用此插件过时版本的用户：
debugContext.debugData.oktaUserAgentExtended ne “okta-browser-plugin/6.32.0” 和 debugContext.debugData.oktaUserAgentExtended co “okta-browser-plugin/”
        超过 1 亿用户使用Okta 保存他们的凭据并连接到他们所在机构内部和外部的应用程序。此外，Okta 浏览器插件还提供多种功能，例如：
          - 只需单击一下即可自动登录您的企业和个人应用程序
          - 将您自己的应用程序添加到Okta
          - 为您的所有应用程序快速生成强大的随机密码
          - 轻松访问您的 Okta 仪表板应用程序和选项卡
          - 无缝安全地在多个Okta 帐户之间切换

        受影响的产品和修复版本
受影响的产品                                                                                                                                             
Okta 浏览器插件版本 6.5.0 至 6.31.0（Chrome/Edge/Firefox/Safari)                                                                                                                     

修复版本
适用于Chrome/Edge/Safari 的Okta 浏览器插件版本6.32.0   

建议此插件的用户升级到最新版本，以防止威胁行为者利用此漏洞。