Уязвимость некорректной обработки добавления элемента IFRAME в PDF.js в Mozilla Firefox и Firefox ESR, позволяющая удалённо читать произвольные файлы или выполнять произвольный JavaScript код с правами chrome
Описание
В PDF.js в Mozilla Firefox до версии 25.0 и Firefox ESR 24.x до версии 24.1 выявлена уязвимость, связанная с некорректной обработкой добавления элемента IFRAME. Эта уязвимость позволяет злоумышленникам удалённо читать произвольные файлы или выполнять произвольный JavaScript код с привилегиями chrome при использовании этого элемента внутри встроенного PDF-объекта.
Затронутые версии ПО
- Mozilla Firefox до версии 25.0
- Mozilla Firefox ESR 24.x до версии 24.1
Тип уязвимости
- Чтение произвольных файлов
- Выполнение произвольного кода (с правами chrome)
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
Одно из
EPSS
8.3 High
CVSS2
Дефекты
Связанные уязвимости
PDF.js in Mozilla Firefox before 25.0 and Firefox ESR 24.x before 24.1 does not properly handle the appending of an IFRAME element, which allows remote attackers to read arbitrary files or execute arbitrary JavaScript code with chrome privileges by using this element within an embedded PDF object.
PDF.js in Mozilla Firefox before 25.0 and Firefox ESR 24.x before 24.1 does not properly handle the appending of an IFRAME element, which allows remote attackers to read arbitrary files or execute arbitrary JavaScript code with chrome privileges by using this element within an embedded PDF object.
PDF.js in Mozilla Firefox before 25.0 and Firefox ESR 24.x before 24.1 ...
PDF.js in Mozilla Firefox before 25.0 and Firefox ESR 24.x before 24.1 does not properly handle the appending of an IFRAME element, which allows remote attackers to read arbitrary files or execute arbitrary JavaScript code with chrome privileges by using this element within an embedded PDF object.
EPSS
8.3 High
CVSS2