CVE-2015-7207

Опубликовано: 16 дек. 2015

Источник: nvd

CVSS2: 5

EPSS Низкий

Уязвимость обхода политики одного происхождения для получения конфиденциальной информации через некорректно ограниченный доступ к API IFRAME Resource Timing в Mozilla Firefox

Описание

В Mozilla Firefox до релиза 43.0 некорректно ограничивается доступность временных данных API IFRAME Resource Timing, что позволяет злоумышленникам обойти политику одного происхождения и получить конфиденциальную информацию. Для этого используются специально сформированные JavaScript-коды, применяющие вызовы history.back и performance.getEntries. Эта уязвимость связана с CVE-2015-1300.

Затронутые версии ПО

Mozilla Firefox до 43.0

Тип уязвимости

Обход политики одного происхождения
Утечка конфиденциальной информации

Ссылки

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 42.0 (включая)

Конфигурация 2

Одно из

cpe:2.3:o:opensuse:leap:42.1:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:13.2:*:*:*:*:*:*:*

Конфигурация 3

cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:*

Конфигурация 4

Одно из

cpe:2.3:o:fedoraproject:fedora:22:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:23:*:*:*:*:*:*:*

EPSS

Процентиль: 63%

0.00437

Низкий

5 Medium

CVSS2

Дефекты

CWE-200

Связанные уязвимости

CVE-2015-7207

ubuntu

около 10 лет назад

Mozilla Firefox before 43.0 does not properly restrict the availability of IFRAME Resource Timing API times, which allows remote attackers to bypass the Same Origin Policy and obtain sensitive information via crafted JavaScript code that leverages history.back and performance.getEntries calls, a related issue to CVE-2015-1300.