Уязвимость удаленного доступа к файлам из-за возможности определять существование файлов на локальной системе через XSLT стили в браузерах Firefox и Mozilla
Описание
Браузеры Firefox версии до 1.0.1 и Mozilla версии до 1.7.6 некорректно ограничивают использование тегов xsl:include и xsl:import в XSLT стилях для текущего домена. Это создаёт возможность злоумышленникам удалённо проверять наличие файлов на локальной системе пользователя.
Затронутые версии ПО
- Firefox: до 1.0.1
- Mozilla: до 1.7.6
Тип уязвимости
Удалённый доступ к файлам
Ссылки
- PatchVendor Advisory
- PatchVendor Advisory
- Patch
- PatchVendor Advisory
- PatchVendor Advisory
- Patch
Уязвимые конфигурации
Одно из
EPSS
5 Medium
CVSS2
Дефекты
Связанные уязвимости
Firefox before 1.0.1 and Mozilla before 1.7.6 does not restrict xsl:include and xsl:import tags in XSLT stylesheets to the current domain, which allows remote attackers to determine the existence of files on the local system.
Firefox before 1.0.1 and Mozilla before 1.7.6 does not restrict xsl:include and xsl:import tags in XSLT stylesheets to the current domain, which allows remote attackers to determine the existence of files on the local system.
Firefox before 1.0.1 and Mozilla before 1.7.6 does not restrict xsl:in ...
Firefox before 1.0.1 and Mozilla before 1.7.6 does not restrict xsl:include and xsl:import tags in XSLT stylesheets to the current domain, which allows remote attackers to determine the existence of files on the local system.
EPSS
5 Medium
CVSS2