Уязвимость удаленного выполнения кода из-за некорректной реализации проверок безопасности в Firefox и Mozilla Suite через "обёрнутые" javascript: URL
Описание
В браузерах Firefox (версии до 1.0.4) и Mozilla Suite (версии до 1.7.8) некорректно реализованы определённые проверки безопасности для внедрения скриптов. Это позволяет злоумышленникам удалённо выполнять скрипты, используя "обёрнутые" ("Wrapped|) javascript: URL. Уязвимость может быть использована при помощи:
- javascript: URL внутри view-source: URL;
- javascript: URL внутри jar: URL;
- вложенного варианта URL.
Тип уязвимости
Удалённое выполнение кода
Затронутые версии ПО
- Firefox до версии 1.0.4
- Mozilla Suite до версии 1.7.8
Ссылки
- Patch
- Patch
Уязвимые конфигурации
Одно из
EPSS
7.5 High
CVSS2
Дефекты
Связанные уязвимости
Firefox before 1.0.4 and Mozilla Suite before 1.7.8 does not properly implement certain security checks for script injection, which allows remote attackers to execute script via "Wrapped" javascript: URLs, as demonstrated using (1) a javascript: URL in a view-source: URL, (2) a javascript: URL in a jar: URL, or (3) "a nested variant."
Firefox before 1.0.4 and Mozilla Suite before 1.7.8 does not properly implement certain security checks for script injection, which allows remote attackers to execute script via "Wrapped" javascript: URLs, as demonstrated using (1) a javascript: URL in a view-source: URL, (2) a javascript: URL in a jar: URL, or (3) "a nested variant."
Firefox before 1.0.4 and Mozilla Suite before 1.7.8 does not properly ...
Firefox before 1.0.4 and Mozilla Suite before 1.7.8 does not properly implement certain security checks for script injection, which allows remote attackers to execute script via "Wrapped" javascript: URLs, as demonstrated using (1) a javascript: URL in a view-source: URL, (2) a javascript: URL in a jar: URL, or (3) "a nested variant."
EPSS
7.5 High
CVSS2