Уязвимость выполнения произвольных веб-скриптов на HTTPS сайтах через HPIHSL страницы в браузере Mozilla Firefox
Описание
В Mozilla Firefox версии 3.0.10 и, возможно, в других версиях обнаружена уязвимость, связанная с некорректной проверкой контента HTTP на страницах HTTPS. Уязвимость позволяет злоумышленникам выполнить произвольные веб-скрипты в контексте HTTPS сайта. Это возможно через изменение страницы HTTP для включения HTTPS iframe, который ссылается на файл скрипта, расположенный на HTTP сайте. Уязвимость связана с так называемыми "HTTP-Intended-but-HTTPS-Loadable (HPIHSL) страницами".
Затронутые версии ПО
- Mozilla Firefox 3.0.10
- Вероятно, другие версии
Тип уязвимости
- Удалённое выполнение кода
Ссылки
Уязвимые конфигурации
Одно из
EPSS
6.8 Medium
CVSS2
Дефекты
Связанные уязвимости
Mozilla Firefox 3.0.10, and possibly other versions, detects http content in https web pages only when the top-level frame uses https, which allows man-in-the-middle attackers to execute arbitrary web script, in an https site's context, by modifying an http page to include an https iframe that references a script file on an http site, related to "HTTP-Intended-but-HTTPS-Loadable (HPIHSL) pages."
Mozilla Firefox 3.0.10, and possibly other versions, detects http cont ...
Mozilla Firefox 3.0.10, and possibly other versions, detects http content in https web pages only when the top-level frame uses https, which allows man-in-the-middle attackers to execute arbitrary web script, in an https site's context, by modifying an http page to include an https iframe that references a script file on an http site, related to "HTTP-Intended-but-HTTPS-Loadable (HPIHSL) pages."
EPSS
6.8 Medium
CVSS2