Уязвимость обхода требования подтверждения пользователя при установке дополнений в Mozilla Firefox и Firefox ESR
Описание
Функция установки дополнений в Mozilla Firefox до версии 40.0.3 и Firefox ESR до версии 38.2.1 позволяет злоумышленникам обойти требование подтверждения пользователя. Это достигается путем создания специально подготовленного data: URL и инициирования навигации к произвольным http: или https: URL на определенном этапе процесса установки.
Затронутые версии ПО
- Mozilla Firefox до версии 40.0.3
- Firefox ESR 38.x до версии 38.2.1
Тип уязвимости
Удалённое выполнение кода
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
7.5 High
CVSS2
Дефекты
Связанные уязвимости
The add-on installation feature in Mozilla Firefox before 40.0.3 and Firefox ESR 38.x before 38.2.1 allows remote attackers to bypass an intended user-confirmation requirement by constructing a crafted data: URL and triggering navigation to an arbitrary http: or https: URL at a certain early point in the installation process.
The add-on installation feature in Mozilla Firefox before 40.0.3 and Firefox ESR 38.x before 38.2.1 allows remote attackers to bypass an intended user-confirmation requirement by constructing a crafted data: URL and triggering navigation to an arbitrary http: or https: URL at a certain early point in the installation process.
The add-on installation feature in Mozilla Firefox before 40.0.3 and F ...
The add-on installation feature in Mozilla Firefox before 40.0.3 and Firefox ESR 38.x before 38.2.1 allows remote attackers to bypass an intended user-confirmation requirement by constructing a crafted data: URL and triggering navigation to an arbitrary http: or https: URL at a certain early point in the installation process.
Уязвимость браузеров Firefox и Firefox ESR, позволяющая нарушителю обойти процедуру подтверждения действий пользователем при установке обновления
EPSS
7.5 High
CVSS2