Уязвимость некорректной проверки HTTP Cookie в Mozilla Firefox, позволяющая удаленно проводить атаки через формирование некорректных Cookie
Описание
В Mozilla Firefox до версии 27 существует уязвимость, которая заключается в том, что браузер отправляет заголовки HTTP Cookie без предварительной проверки на соблюдение необходимых ограничений на набор символов. Это позволяет удалённым злоумышленникам проводить атаки, эквивалентные постоянным Logout CSRF-атакам, посредством специально сформированного параметра, который заставляет веб-приложение устанавливать некорректный Cookie в ответе HTTP.
Затронутые версии ПО
- Mozilla Firefox до версии 27
Тип уязвимости
- Подмена Cookie (Logout CSRF)
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
6.8 Medium
CVSS2
Дефекты
Связанные уязвимости
Mozilla Firefox through 27 sends HTTP Cookie headers without first validating that they have the required character-set restrictions, which allows remote attackers to conduct the equivalent of a persistent Logout CSRF attack via a crafted parameter that forces a web application to set a malformed cookie within an HTTP response.
Mozilla Firefox through 27 sends HTTP Cookie headers without first validating that they have the required character-set restrictions, which allows remote attackers to conduct the equivalent of a persistent Logout CSRF attack via a crafted parameter that forces a web application to set a malformed cookie within an HTTP response.
Mozilla Firefox through 27 sends HTTP Cookie headers without first val ...
Mozilla Firefox through 27 sends HTTP Cookie headers without first validating that they have the required character-set restrictions, which allows remote attackers to conduct the equivalent of a persistent Logout CSRF attack via a crafted parameter that forces a web application to set a malformed cookie within an HTTP response.
EPSS
6.8 Medium
CVSS2