Уязвимость обхода механизма защиты политики безопасности контента (CSP) в Mozilla Firefox из-за некорректной реализации белого списка в режиме чтения
Описание
В Mozilla Firefox до версии 42.0 существует уязвимость, связанная с некорректной реализацией белого списка в режиме чтения. Эта уязвимость позволяет злоумышленникам обходить механизм защиты политики безопасности контента (CSP) и проводить атаки с использованием межсайтового скриптинга (XSS) с помощью векторов, включающих анимации SVG и URL about:reader.
Затронутые версии ПО
Mozilla Firefox версии до 42.0
Тип уязвимости
- Обход механизма защиты (CSP)
- Межсайтовый скриптинг (XSS)
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
The Reader View implementation in Mozilla Firefox before 42.0 has an improper whitelist, which makes it easier for remote attackers to bypass the Content Security Policy (CSP) protection mechanism and conduct cross-site scripting (XSS) attacks via vectors involving SVG animations and the about:reader URL.
The Reader View implementation in Mozilla Firefox before 42.0 has an improper whitelist, which makes it easier for remote attackers to bypass the Content Security Policy (CSP) protection mechanism and conduct cross-site scripting (XSS) attacks via vectors involving SVG animations and the about:reader URL.
The Reader View implementation in Mozilla Firefox before 42.0 has an i ...
The Reader View implementation in Mozilla Firefox before 42.0 has an improper whitelist, which makes it easier for remote attackers to bypass the Content Security Policy (CSP) protection mechanism and conduct cross-site scripting (XSS) attacks via vectors involving SVG animations and the about:reader URL.
Уязвимость браузера Firefox, позволяющая нарушителю обойти существующие ограничения доступа и провести межсайтовое выполнение сценариев
EPSS
4.3 Medium
CVSS2