Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2015-4490

Опубликовано: 16 авг. 2015
Источник: nvd
CVSS2: 4.3
EPSS Низкий

Уязвимость проведения XSS атак через некорректное применение исключений в политике безопасности контента в Mozilla Firefox

Уязвимость некорректной реализации исключений политики безопасности контента в Mozilla Firefox, что позволяет злоумышленникам проводить атаки межсайтового скриптинга (XSS)

Описание

Функция nsCSPHostSrc::permits в файле dom/security/nsCSPUtils.cpp в Mozilla Firefox до релиза 40.0 не реализует исключения политики безопасности контента уровня 2 для (Content Security Policy Level 2) схем URL blob, data и filesystem во время сопоставления источников с использованием подстановочных выражений. Это может упростить злоумышленникам проведение атак межсайтового скриптинга (XSS) за счёт неожиданного поведения при применении политики безопасности.

Затронутые версии ПО

  • Mozilla Firefox до релиза 40.0

Тип уязвимости

Межсайтовый скриптинг (XSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 39.0.3 (включая)
Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:15.04:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.2:*:*:*:*:*:*:*
Конфигурация 3
cpe:2.3:o:oracle:solaris:11.3:*:*:*:*:*:*:*

EPSS

Процентиль: 56%
0.00337
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2015-4490

ubuntu
больше 10 лет назад

The nsCSPHostSrc::permits function in dom/security/nsCSPUtils.cpp in Mozilla Firefox before 40.0 does not implement the Content Security Policy Level 2 exceptions for the blob, data, and filesystem URL schemes during wildcard source-expression matching, which might make it easier for remote attackers to conduct cross-site scripting (XSS) attacks by leveraging unexpected policy-enforcement behavior.

redhat логотип

CVE-2015-4490

redhat
больше 10 лет назад

The nsCSPHostSrc::permits function in dom/security/nsCSPUtils.cpp in Mozilla Firefox before 40.0 does not implement the Content Security Policy Level 2 exceptions for the blob, data, and filesystem URL schemes during wildcard source-expression matching, which might make it easier for remote attackers to conduct cross-site scripting (XSS) attacks by leveraging unexpected policy-enforcement behavior.

debian логотип

CVE-2015-4490

debian
больше 10 лет назад

The nsCSPHostSrc::permits function in dom/security/nsCSPUtils.cpp in M ...

github логотип

GHSA-346h-r83r-9vqj

github
больше 3 лет назад

The nsCSPHostSrc::permits function in dom/security/nsCSPUtils.cpp in Mozilla Firefox before 40.0 does not implement the Content Security Policy Level 2 exceptions for the blob, data, and filesystem URL schemes during wildcard source-expression matching, which might make it easier for remote attackers to conduct cross-site scripting (XSS) attacks by leveraging unexpected policy-enforcement behavior.

fstec логотип

BDU:2015-11246

fstec
больше 10 лет назад

Уязвимость браузера Firefox, позволяющая нарушителю проводить межсайтовый скриптинг

EPSS

Процентиль: 56%
0.00337
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-79