Уязвимость некорректного обновления домена источника в обработчике jar-протокола в Mozilla Firefox и SeaMonkey, позволяющая проводить атаки межсайтового скриптинга (XSS)
Описание
Обработчик jar-протокола в Mozilla Firefox до версии 2.0.0.10 и SeaMonkey до версии 1.1.7 не обновляет домен источника при получении внутреннего URL-параметра, который приводит к HTTP-перенаправлению. Это позволяет злоумышленникам проводить сценарии межсайтового скриптинга (XSS) через jar: URI.
Затронутые версии ПО
- Mozilla Firefox версии до 2.0.0.10
- SeaMonkey версии до 1.1.7
Тип уязвимости
- Межсайтовый скриптинг (XSS)
Ссылки
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
The jar protocol handler in Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7 does not update the origin domain when retrieving the inner URL parameter yields an HTTP redirect, which allows remote attackers to conduct cross-site scripting (XSS) attacks via a jar: URI, a different vulnerability than CVE-2007-5947.
The jar protocol handler in Mozilla Firefox before 2.0.0.10 and SeaMon ...
The jar protocol handler in Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7 does not update the origin domain when retrieving the inner URL parameter yields an HTTP redirect, which allows remote attackers to conduct cross-site scripting (XSS) attacks via a jar: URI, a different vulnerability than CVE-2007-5947.
EPSS
4.3 Medium
CVSS2