Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-02935

Опубликовано: 09 июл. 2019
Источник: fstec
CVSS3: 8.8
CVSS2: 9.3
EPSS Низкий

Описание

Уязвимость компонента document.domain браузеров Firefox ESR, Firefox и почтового клиента Thunderbird существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить межсайтовую сценарную атаку

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Novell Inc.
Mozilla Corp.
ООО «Ред Софт»
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
OpenSUSE Leap
Firefox ESR
Thunderbird
РЕД ОС
Firefox
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
до 60.8.0 (Firefox ESR)
до 60.8.0 (Thunderbird)
8 (Debian GNU/Linux)
7.1 МУРОМ (РЕД ОС)
до 68 (Firefox)
1.0 (ОС ОН «Стрелец»)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 8
ООО «Ред Софт» РЕД ОС 7.1 МУРОМ
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/security/advisories/mfsa2019-21/
https://www.mozilla.org/security/advisories/mfsa2019-22/
https://www.mozilla.org/security/advisories/mfsa2019-23/
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00055.html
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00058.html
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/08/msg00001.html
https://lists.debian.org/debian-lts-announce/2019/08/msg00002.html
Для РЕД ОС:
Обновить программное обеспечение до актуальной версии
Для Astra Linux:
Обновление программного обеспечения (пакета Firefox) до 68.0-1 или более поздней версии, программного обеспечения (пакета Firefox ESR) до 60.8.0esr-1~deb8u1 или более поздней версии, программного обеспечения (пакета Thunderbird) до 1:60.8.0-1~deb8u1 или более поздней версии
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»:
Обновление программного обеспечения firefox-esr до версии 91.13.0esr+repack-1~deb10u1.osnova1.strelets
Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 81%
0.0147
Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-11711

CVSS3: 8.8
ubuntu
больше 6 лет назад

When an inner window is reused, it does not consider the use of document.domain for cross-origin protections. If pages on different subdomains ever cooperatively use document.domain, then either page can abuse this to inject script into arbitrary pages on the other subdomain, even those that did not use document.domain to relax their origin security. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

redhat логотип

CVE-2019-11711

CVSS3: 8.8
redhat
больше 6 лет назад

When an inner window is reused, it does not consider the use of document.domain for cross-origin protections. If pages on different subdomains ever cooperatively use document.domain, then either page can abuse this to inject script into arbitrary pages on the other subdomain, even those that did not use document.domain to relax their origin security. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

nvd логотип

CVE-2019-11711

CVSS3: 8.8
nvd
больше 6 лет назад

When an inner window is reused, it does not consider the use of document.domain for cross-origin protections. If pages on different subdomains ever cooperatively use document.domain, then either page can abuse this to inject script into arbitrary pages on the other subdomain, even those that did not use document.domain to relax their origin security. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

debian логотип

CVE-2019-11711

CVSS3: 8.8
debian
больше 6 лет назад

When an inner window is reused, it does not consider the use of docume ...

github логотип

GHSA-3cqf-mfjf-xv44

CVSS3: 8.8
github
больше 3 лет назад

When an inner window is reused, it does not consider the use of document.domain for cross-origin protections. If pages on different subdomains ever cooperatively use document.domain, then either page can abuse this to inject script into arbitrary pages on the other subdomain, even those that did not use document.domain to relax their origin security. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

EPSS

Процентиль: 81%
0.0147
Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2