Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2009-1840

Опубликовано: 12 июн. 2009
Источник: nvd
CVSS2: 9.3
EPSS Низкий

Уязвимость обхода ограничений доступа при загрузке скриптов в Mozilla Firefox, Thunderbird и SeaMonkey

Описание

В браузерах Mozilla Firefox до версии 3.0.11, а также в Thunderbird и SeaMonkey, отсутствует проверка политики контента перед загрузкой файлов скриптов в XUL-документ. Это позволяет злоумышленникам обойти установленные ограничения доступа с помощью специально сформированного HTML-документа. Примером эксплуатации этой уязвимости может быть "веб-ошибка" в сообщении электронной почты или веб-скрипт, либо реклама на веб-странице.

Затронутые версии ПО

  • Mozilla Firefox до версии 3.0.11
  • Thunderbird (все версии)
  • SeaMonkey (все версии)

Тип уязвимости

Обход ограничений доступа

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 3.0.10 (включая)
cpe:2.3:a:mozilla:firefox:3.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0:alpha:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0:beta2:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0:beta5:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.8:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.9:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0beta5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.1:beta1:*:*:*:*:*:*
cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

EPSS

Процентиль: 79%
0.01388
Низкий

9.3 Critical

CVSS2

Дефекты

CWE-264

Связанные уязвимости

ubuntu логотип

CVE-2009-1840

ubuntu
около 16 лет назад

Mozilla Firefox before 3.0.11, Thunderbird, and SeaMonkey do not check content policy before loading a script file into a XUL document, which allows remote attackers to bypass intended access restrictions via a crafted HTML document, as demonstrated by a "web bug" in an e-mail message, or web script or an advertisement in a web page.

redhat логотип

CVE-2009-1840

redhat
около 16 лет назад

Mozilla Firefox before 3.0.11, Thunderbird, and SeaMonkey do not check content policy before loading a script file into a XUL document, which allows remote attackers to bypass intended access restrictions via a crafted HTML document, as demonstrated by a "web bug" in an e-mail message, or web script or an advertisement in a web page.

debian логотип

CVE-2009-1840

debian
около 16 лет назад

Mozilla Firefox before 3.0.11, Thunderbird, and SeaMonkey do not check ...

github логотип

GHSA-qvp9-wp54-hp75

github
около 3 лет назад

Mozilla Firefox before 3.0.11, Thunderbird, and SeaMonkey do not check content policy before loading a script file into a XUL document, which allows remote attackers to bypass intended access restrictions via a crafted HTML document, as demonstrated by a "web bug" in an e-mail message, or web script or an advertisement in a web page.

oracle-oval логотип

ELSA-2009-1095

oracle-oval
около 16 лет назад

ELSA-2009-1095: firefox security update (CRITICAL)

EPSS

Процентиль: 79%
0.01388
Низкий

9.3 Critical

CVSS2

Дефекты

CWE-264