Уязвимость обхода политики одного происхождения в Mozilla Firefox и Firefox ESR через некорректную обработку CORS-запросов
Описание
В Mozilla Firefox до версии 42.0 и Firefox ESR 38.x до версии 38.4 обнаружена уязвимость, связанная с некорректным выполнением алгоритма кросс-доменных запросов CORS для метода POST. В уязвимости задействована неспецифицированная манипуляция заголовком Content-Type, которая позволяет злоумышленникам обойти политику одного происхождения, используя отсутствие шага предварительного запроса.
Затронутые версии ПО
- Mozilla Firefox до версии 42.0
- Mozilla Firefox ESR 38.x до версии 38.4
Тип уязвимости
- Обход политики одного происхождения
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
7.5 High
CVSS2
Дефекты
Связанные уязвимости
Mozilla Firefox before 42.0 and Firefox ESR 38.x before 38.4 improperly follow the CORS cross-origin request algorithm for the POST method in situations involving an unspecified Content-Type header manipulation, which allows remote attackers to bypass the Same Origin Policy by leveraging the lack of a preflight-request step.
Mozilla Firefox before 42.0 and Firefox ESR 38.x before 38.4 improperly follow the CORS cross-origin request algorithm for the POST method in situations involving an unspecified Content-Type header manipulation, which allows remote attackers to bypass the Same Origin Policy by leveraging the lack of a preflight-request step.
Mozilla Firefox before 42.0 and Firefox ESR 38.x before 38.4 improperl ...
Mozilla Firefox before 42.0 and Firefox ESR 38.x before 38.4 improperly follow the CORS cross-origin request algorithm for the POST method in situations involving an unspecified Content-Type header manipulation, which allows remote attackers to bypass the Same Origin Policy by leveraging the lack of a preflight-request step.
Уязвимость браузеров Firefox и Firefox ESR, позволяющая нарушителю обойти существующие ограничения доступа
EPSS
7.5 High
CVSS2