Уязвимость некорректной проверки действия формы с паролем в менеджерах паролей браузеров Mozilla Firefox и Netscape
Описание
Менеджер паролей в Mozilla Firefox версии 2.0 и 1.5.0.8 и более ранних, а также менеджер паролей в Netscape 8.1.2 не верифицируют корректно, что URL действия в элементе формы с INPUT для пароля соответствует веб-сайту, для которого был сохранён пароль пользователем. Это позволяет злоумышленникам получить пароли, используя элемент INPUT для пароля на другой веб-странице, находящейся на веб-сайте, для которого предназначен этот пароль.
Затронутые версии ПО
- Mozilla Firefox 2.0
- Mozilla Firefox 1.5.0.8 и более ранние версии
- Netscape 8.1.2 и, возможно, другие версии
Тип уязвимости
- Удалённое получение пароля
Ссылки
- ExploitVendor Advisory
Уязвимые конфигурации
Одно из
EPSS
5 Medium
CVSS2
Дефекты
Связанные уязвимости
The (1) Password Manager in Mozilla Firefox 2.0, and 1.5.0.8 and earlier; and the (2) Passcard Manager in Netscape 8.1.2 and possibly other versions, do not properly verify that an ACTION URL in a FORM element containing a password INPUT element matches the web site for which the user stored a password, which allows remote attackers to obtain passwords via a password INPUT element on a different web page located on the web site intended for this password.
The (1) Password Manager in Mozilla Firefox 2.0, and 1.5.0.8 and earlier; and the (2) Passcard Manager in Netscape 8.1.2 and possibly other versions, do not properly verify that an ACTION URL in a FORM element containing a password INPUT element matches the web site for which the user stored a password, which allows remote attackers to obtain passwords via a password INPUT element on a different web page located on the web site intended for this password.
The (1) Password Manager in Mozilla Firefox 2.0, and 1.5.0.8 and earli ...
The (1) Password Manager in Mozilla Firefox 2.0, and 1.5.0.8 and earlier; and the (2) Passcard Manager in Netscape 8.1.2 and possibly other versions, do not properly verify that an ACTION URL in a FORM element containing a password INPUT element matches the web site for which the user stored a password, which allows remote attackers to obtain passwords via a password INPUT element on a different web page located on the web site intended for this password.
EPSS
5 Medium
CVSS2