Уязвимость обхода политики одного происхождения и выполнения произвольного JavaScript кода в Mozilla Firefox и Thunderbird через навигацию по якорям
Описание
В Mozilla Firefox до версии 37.0, Firefox ESR 31.x до версии 31.6 и Thunderbird до версии 31.6 обнаружена уязвимость, позволяющая злоумышленнику обходить политику одного происхождения. Эта уязвимость может быть использована для выполнения произвольного JavaScript кода с привилегиями chrome через специфические векторы, связанные с навигацией по якорям. Проблема схожа с уязвимостью CVE-2015-0818.
Затронутые версии ПО
- Mozilla Firefox до версии 37.0
- Mozilla Firefox ESR 31.x до версии 31.6
- Mozilla Thunderbird до версии 31.6
Тип уязвимости
- Обход политики одного происхождения
- Выполнение произвольного кода
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
7.5 High
CVSS2
Дефекты
Связанные уязвимости
Mozilla Firefox before 37.0, Firefox ESR 31.x before 31.6, and Thunderbird before 31.6 allow remote attackers to bypass the Same Origin Policy and execute arbitrary JavaScript code with chrome privileges via vectors involving anchor navigation, a similar issue to CVE-2015-0818.
Mozilla Firefox before 37.0, Firefox ESR 31.x before 31.6, and Thunderbird before 31.6 allow remote attackers to bypass the Same Origin Policy and execute arbitrary JavaScript code with chrome privileges via vectors involving anchor navigation, a similar issue to CVE-2015-0818.
Mozilla Firefox before 37.0, Firefox ESR 31.x before 31.6, and Thunder ...
Mozilla Firefox before 37.0, Firefox ESR 31.x before 31.6, and Thunderbird before 31.6 allow remote attackers to bypass the Same Origin Policy and execute arbitrary JavaScript code with chrome privileges via vectors involving anchor navigation, a similar issue to CVE-2015-0818.
Уязвимость почтового клиента Thunderbird, позволяющая удалённому злоумышленнику выполнить произвольный JavaScript-код
EPSS
7.5 High
CVSS2