CVE-2015-0818

Опубликовано: 24 мар. 2015

Источник: nvd

CVSS2: 7.5

EPSS Низкий

Уязвимость обхода политики одного происхождения и выполнения произвольного JavaScript кода в Mozilla Firefox и SeaMonkey через использование SVG навигации с хэшами

Описание

В браузерах Mozilla Firefox и SeaMonkey обнаружена уязвимость, которая позволяет злоумышленнику обойти политику одного происхождения и выполнить произвольный JavaScript код с привилегиями chrome. Это возможно через использование методов SVG навигации с хэшами.

Затронутые версии ПО

Mozilla Firefox до версии 36.0.4
Firefox ESR версии 31.x до 31.5.3
SeaMonkey до версии 2.33.1

Тип уязвимости

Обход политики одного происхождения
Выполнение произвольного кода

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 36.0.3 (включая)

cpe:2.3:a:mozilla:firefox:31.0:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:31.1.0:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:31.1.1:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:31.3.0:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:31.5.1:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:31.5.2:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox_esr:31.1:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox_esr:31.2:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox_esr:31.3:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox_esr:31.4:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox_esr:31.5:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*

Версия до 2.33.0 (включая)

EPSS

Процентиль: 79%

0.01278

Низкий

7.5 High

CVSS2

Дефекты

CWE-264

Связанные уязвимости

CVE-2015-0818

ubuntu

больше 10 лет назад

Mozilla Firefox before 36.0.4, Firefox ESR 31.x before 31.5.3, and SeaMonkey before 2.33.1 allow remote attackers to bypass the Same Origin Policy and execute arbitrary JavaScript code with chrome privileges via vectors involving SVG hash navigation.