Уязвимость внедрения символов CRLF в механизм Digest Authentication в Mozilla Firefox и SeaMonkey
Описание
Уязвимость в поддержке удостоверения Digest Authentication для браузеров Mozilla Firefox (версии до 2.0.0.8) и SeaMonkey (версии до 1.1.5) позволяет злоумышленникам осуществлять атаки путем разделения HTTP-запросов. Это возможно благодаря внедрению символов строки LF (%0a) в поле имени пользователя.
Затронутые версии ПО
- Mozilla Firefox версии до 2.0.0.8
- SeaMonkey версии до 1.1.5
Тип уязвимости
Внедрение символов CRLF (символы новой строки), что позволяет злоумышленникам манипулировать HTTP-запросами.
Ссылки
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
CRLF injection vulnerability in the Digest Authentication support for Mozilla Firefox before 2.0.0.8 and SeaMonkey before 1.1.5 allows remote attackers to conduct HTTP request splitting attacks via LF (%0a) bytes in the username attribute.
CRLF injection vulnerability in the Digest Authentication support for Mozilla Firefox before 2.0.0.8 and SeaMonkey before 1.1.5 allows remote attackers to conduct HTTP request splitting attacks via LF (%0a) bytes in the username attribute.
CRLF injection vulnerability in the Digest Authentication support for ...
CRLF injection vulnerability in the Digest Authentication support for Mozilla Firefox before 2.0.0.8 and SeaMonkey before 1.1.5 allows remote attackers to conduct HTTP request splitting attacks via LF (%0a) bytes in the username attribute.
ELSA-2007-0979: Critical: firefox security update (CRITICAL)
EPSS
4.3 Medium
CVSS2