Уязвимость обхода политики одного происхождения и кражи cookies в браузерах на базе Mozilla путем взаимодействия с кодом
Описание
Браузеры на базе Mozilla, включая Firefox версий до 1.5.0.10 и 2.x до 2.0.0.2, а также SeaMonkey до версии 1.0.8, позволяют злоумышленникам обходить политику одного источника, красть cookies и выполнять другие атаки. Это происходит из-за возможности записи URI с нулевым байтом в свойство hostname (location.hostname) в DOM, что приводит к взаимодействию с кодом разрешения DNS.
Затронутые версии ПО
- Mozilla Firefox до версии 1.5.0.10 и 2.x до 2.0.0.2
- SeaMonkey до версии 1.0.8
Тип уязвимости
- Обход ограничения источника
- Кража cookies
- Внедрение URI
Ссылки
- Exploit
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
7.5 High
CVSS2
Дефекты
Связанные уязвимости
Mozilla based browsers, including Firefox before 1.5.0.10 and 2.x before 2.0.0.2, and SeaMonkey before 1.0.8, allow remote attackers to bypass the same origin policy, steal cookies, and conduct other attacks by writing a URI with a null byte to the hostname (location.hostname) DOM property, due to interactions with DNS resolver code.
Mozilla based browsers, including Firefox before 1.5.0.10 and 2.x before 2.0.0.2, and SeaMonkey before 1.0.8, allow remote attackers to bypass the same origin policy, steal cookies, and conduct other attacks by writing a URI with a null byte to the hostname (location.hostname) DOM property, due to interactions with DNS resolver code.
Mozilla based browsers, including Firefox before 1.5.0.10 and 2.x befo ...
Mozilla based browsers, including Firefox before 1.5.0.10 and 2.x before 2.0.0.2, and SeaMonkey before 1.0.8, allow remote attackers to bypass the same origin policy, steal cookies, and conduct other attacks by writing a URI with a null byte to the hostname (location.hostname) DOM property, due to interactions with DNS resolver code.
EPSS
7.5 High
CVSS2