Уязвимость межсайтового скриптинга (XSS) через удаление BOM на UTF-8 страницах в Mozilla Firefox и Thunderbird
Описание
В браузере Mozilla Firefox и почтовом клиенте Thunderbird версий до 1.5.0.4 удаляется метка порядка байтов (BOM) из UTF-8 страниц до их передачи парсеру. Это позволяет злоумышленникам осуществлять атаки межсайтового скриптинга (XSS) с использованием последовательности BOM в опасных тегах, таких как SCRIPT.
Затронутые версии ПО
- Mozilla Firefox до версии 1.5.0.4
- Mozilla Thunderbird до версии 1.5.0.4
Тип уязвимости
- Межсайтовый скриптинг (XSS)
Ссылки
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Mozilla Firefox and Thunderbird before 1.5.0.4 strip the Unicode Byte-order-Mark (BOM) from a UTF-8 page before the page is passed to the parser, which allows remote attackers to conduct cross-site scripting (XSS) attacks via a BOM sequence in the middle of a dangerous tag such as SCRIPT.
Mozilla Firefox and Thunderbird before 1.5.0.4 strip the Unicode Byte-order-Mark (BOM) from a UTF-8 page before the page is passed to the parser, which allows remote attackers to conduct cross-site scripting (XSS) attacks via a BOM sequence in the middle of a dangerous tag such as SCRIPT.
Mozilla Firefox and Thunderbird before 1.5.0.4 strip the Unicode Byte- ...
Mozilla Firefox and Thunderbird before 1.5.0.4 strip the Unicode Byte-order-Mark (BOM) from a UTF-8 page before the page is passed to the parser, which allows remote attackers to conduct cross-site scripting (XSS) attacks via a BOM sequence in the middle of a dangerous tag such as SCRIPT.
EPSS
4.3 Medium
CVSS2