Уязвимость межсайтового скриптинга (XSS) в реализации политики безопасности контента (CSP) в Mozilla Firefox, Thunderbird и SeaMonkey
Описание
В реализации политики безопасности контента (CSP) в Mozilla Firefox, Thunderbird и SeaMonkey обнаружена уязвимость, которая заключается в некорректном блокировании встроенных обработчиков событий. Это упрощает злоумышленникам выполнение межсайтового скриптинга (XSS) посредством специально подготовленного HTML-документа.
Затронутые версии ПО
- Mozilla Firefox версии 4.x до 12.0
- Mozilla Firefox ESR версии 10.x до 10.0.5
- Thunderbird версии 5.0 до 12.0
- Thunderbird ESR версии 10.x до 10.0.5
- SeaMonkey до версии 2.10
Тип уязвимости
Межсайтовый скриптинг (XSS)
Ссылки
- Permissions Required
- Vendor Advisory
- Issue Tracking
- Permissions Required
- Vendor Advisory
- Issue Tracking
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
The Content Security Policy (CSP) implementation in Mozilla Firefox 4.x through 12.0, Firefox ESR 10.x before 10.0.5, Thunderbird 5.0 through 12.0, Thunderbird ESR 10.x before 10.0.5, and SeaMonkey before 2.10 does not block inline event handlers, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via a crafted HTML document.
The Content Security Policy (CSP) implementation in Mozilla Firefox 4.x through 12.0, Firefox ESR 10.x before 10.0.5, Thunderbird 5.0 through 12.0, Thunderbird ESR 10.x before 10.0.5, and SeaMonkey before 2.10 does not block inline event handlers, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via a crafted HTML document.
The Content Security Policy (CSP) implementation in Mozilla Firefox 4. ...
The Content Security Policy (CSP) implementation in Mozilla Firefox 4.x through 12.0, Firefox ESR 10.x before 10.0.5, Thunderbird 5.0 through 12.0, Thunderbird ESR 10.x before 10.0.5, and SeaMonkey before 2.10 does not block inline event handlers, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via a crafted HTML document.
Уязвимость браузера Firefox, позволяющая злоумышленнику выполнить межсайтовый скриптинг
EPSS
4.3 Medium
CVSS2