Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2014-1504

Опубликовано: 19 мар. 2014
Источник: nvd
CVSS2: 2.6
EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Mozilla Firefox и SeaMonkey через некорректное соблюдение политики безопасности контента в URL-адресах с данными при восстановлении сессии

Описание

Функция восстановления сессии в браузерах Mozilla Firefox и SeaMonkey некорректно учитывает политику безопасности контента (Content Security Policy) для URL-адресов с данными (data: URL). Это упрощает злоумышленникам проведение атак межсайтового скриптинга (XSS) путем создания специально подготовленного документа, который открывается после перезапуска браузера.

Затронутые версии ПО

  • Mozilla Firefox до версии 28.0
  • SeaMonkey до версии 2.25

Тип уязвимости

  • Межсайтовый скриптинг (XSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 28.0 (исключая)
Конфигурация 2
cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*
Версия до 2.25 (исключая)
Конфигурация 3

Одно из

cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:12.3:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:*
cpe:2.3:o:oracle:solaris:11.3:*:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_desktop:11:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_sdk:11:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:11:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:11:sp3:*:*:*:vmware:*:*

EPSS

Процентиль: 69%
0.00606
Низкий

2.6 Low

CVSS2

Дефекты

CWE-264

Связанные уязвимости

ubuntu логотип

CVE-2014-1504

ubuntu
больше 11 лет назад

The session-restore feature in Mozilla Firefox before 28.0 and SeaMonkey before 2.25 does not consider the Content Security Policy of a data: URL, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via a crafted document that is accessed after a browser restart.

redhat логотип

CVE-2014-1504

redhat
больше 11 лет назад

The session-restore feature in Mozilla Firefox before 28.0 and SeaMonkey before 2.25 does not consider the Content Security Policy of a data: URL, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via a crafted document that is accessed after a browser restart.

debian логотип

CVE-2014-1504

debian
больше 11 лет назад

The session-restore feature in Mozilla Firefox before 28.0 and SeaMonk ...

github логотип

GHSA-5wjr-c7x3-p8gh

github
около 3 лет назад

The session-restore feature in Mozilla Firefox before 28.0 and SeaMonkey before 2.25 does not consider the Content Security Policy of a data: URL, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via a crafted document that is accessed after a browser restart.

fstec логотип

BDU:2014-00315

fstec
больше 11 лет назад

Уязвимость пакета программ Mozilla SeaMonkey, позволяющая провести межсайтовое выполнение сценариев

EPSS

Процентиль: 69%
0.00606
Низкий

2.6 Low

CVSS2

Дефекты

CWE-264