Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2012-1965

Опубликовано: 18 июл. 2012
Источник: nvd
CVSS2: 4.3
EPSS Низкий

Уязвимость обхода защиты от межсайтового скриптинга (XSS) через некорректное установление контекста безопасности URL-адресов типа feed в браузере Mozilla Firefox

Описание

В браузере Mozilla Firefox возникла уязвимость, связанная с некорректным установлением контекста безопасности для URL-адресов, начинающихся с feed. Это позволяет злоумышленникам обойти некоторые механизмы защиты от межсайтового скриптинга (XSS) при помощи URL-адреса формата feed:javascript.

Затронутые версии ПО

  • Mozilla Firefox версии 4.x до 13.0
  • Mozilla Firefox ESR версии 10.x до 10.0.6

Тип уязвимости

Подмена и обход механизмов защиты от XSS

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:4.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta1:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta10:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta11:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta12:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta2:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta3:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta4:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta5:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta6:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta7:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta8:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta9:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:5.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:5.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:6.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:6.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:6.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:7.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:7.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:8.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:8.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:9.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:9.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:11.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:12.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:12.0:beta6:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:13.0:*:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:a:mozilla:firefox:10.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:10.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:10.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:10.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:10.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:10.0.5:*:*:*:*:*:*:*

EPSS

Процентиль: 78%
0.01216
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu
около 13 лет назад

Mozilla Firefox 4.x through 13.0 and Firefox ESR 10.x before 10.0.6 do not properly establish the security context of a feed: URL, which allows remote attackers to bypass unspecified cross-site scripting (XSS) protection mechanisms via a feed:javascript: URL.

redhat
около 13 лет назад

Mozilla Firefox 4.x through 13.0 and Firefox ESR 10.x before 10.0.6 do not properly establish the security context of a feed: URL, which allows remote attackers to bypass unspecified cross-site scripting (XSS) protection mechanisms via a feed:javascript: URL.

debian
около 13 лет назад

Mozilla Firefox 4.x through 13.0 and Firefox ESR 10.x before 10.0.6 do ...

github
больше 3 лет назад

Mozilla Firefox 4.x through 13.0 and Firefox ESR 10.x before 10.0.6 do not properly establish the security context of a feed: URL, which allows remote attackers to bypass unspecified cross-site scripting (XSS) protection mechanisms via a feed:javascript: URL.

oracle-oval
около 13 лет назад

ELSA-2012-1088: firefox security update (CRITICAL)

EPSS

Процентиль: 78%
0.01216
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-79