Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2015-7215

Опубликовано: 16 дек. 2015
Источник: nvd
CVSS2: 5
EPSS Низкий

Уязвимость обхода политики одного происхождения в реализации функции importScripts в API веб-воркеров в Mozilla Firefox

Описание

В реализации функции importScripts в Web Workers API в браузере Mozilla Firefox до версии 43.0 существует уязвимость, позволяющая удалённым злоумышленникам обходить политику одного происхождения. Злоумышленники способны вызвать режим no-cors в API fetch, чтобы попытаться получить доступ к ресурсам, что приводит к выбросу исключения и последующему раскрытию информации после его повторного выброса.

Затронутые версии ПО

  • Mozilla Firefox до версии 43.0

Тип уязвимости

  • Обход политики одного происхождения
  • Раскрытие информации

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:fedoraproject:fedora:22:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:23:*:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:o:opensuse:leap:42.1:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.2:*:*:*:*:*:*:*
Конфигурация 3
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 42.0 (включая)

EPSS

Процентиль: 62%
0.00437
Низкий

5 Medium

CVSS2

Дефекты

CWE-200

Связанные уязвимости

ubuntu
больше 9 лет назад

The importScripts function in the Web Workers API implementation in Mozilla Firefox before 43.0 allows remote attackers to bypass the Same Origin Policy by triggering use of the no-cors mode in the fetch API to attempt resource access that throws an exception, leading to information disclosure after a rethrow.

redhat
больше 9 лет назад

The importScripts function in the Web Workers API implementation in Mozilla Firefox before 43.0 allows remote attackers to bypass the Same Origin Policy by triggering use of the no-cors mode in the fetch API to attempt resource access that throws an exception, leading to information disclosure after a rethrow.

debian
больше 9 лет назад

The importScripts function in the Web Workers API implementation in Mo ...

github
около 3 лет назад

The importScripts function in the Web Workers API implementation in Mozilla Firefox before 43.0 allows remote attackers to bypass the Same Origin Policy by triggering use of the no-cors mode in the fetch API to attempt resource access that throws an exception, leading to information disclosure after a rethrow.

fstec
больше 9 лет назад

Уязвимость браузера Firefox, позволяющая нарушителю обойти существующую политику ограничения доступа и привести к раскрытию информации

EPSS

Процентиль: 62%
0.00437
Низкий

5 Medium

CVSS2

Дефекты

CWE-200