Уязвимость обхода защиты от межсайтового скриптинга (XSS) через некорректное установление контекста безопасности URL-адресов типа feed в браузере Mozilla Firefox
Описание
В браузере Mozilla Firefox возникла уязвимость, связанная с некорректным установлением контекста безопасности для URL-адресов, начинающихся с feed
. Это позволяет злоумышленникам обойти некоторые механизмы защиты от межсайтового скриптинга (XSS) при помощи URL-адреса формата feed:javascript
.
Затронутые версии ПО
- Mozilla Firefox версии 4.x до 13.0
- Mozilla Firefox ESR версии 10.x до 10.0.6
Тип уязвимости
Подмена и обход механизмов защиты от XSS
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Одно из
Одно из
EPSS
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Mozilla Firefox 4.x through 13.0 and Firefox ESR 10.x before 10.0.6 do not properly establish the security context of a feed: URL, which allows remote attackers to bypass unspecified cross-site scripting (XSS) protection mechanisms via a feed:javascript: URL.
Mozilla Firefox 4.x through 13.0 and Firefox ESR 10.x before 10.0.6 do not properly establish the security context of a feed: URL, which allows remote attackers to bypass unspecified cross-site scripting (XSS) protection mechanisms via a feed:javascript: URL.
Mozilla Firefox 4.x through 13.0 and Firefox ESR 10.x before 10.0.6 do ...
Mozilla Firefox 4.x through 13.0 and Firefox ESR 10.x before 10.0.6 do not properly establish the security context of a feed: URL, which allows remote attackers to bypass unspecified cross-site scripting (XSS) protection mechanisms via a feed:javascript: URL.
EPSS
4.3 Medium
CVSS2