Уязвимость обхода политики одного происхождения в реализации функции importScripts в API веб-воркеров в Mozilla Firefox
Описание
В реализации функции importScripts в Web Workers API в браузере Mozilla Firefox до версии 43.0 существует уязвимость, позволяющая удалённым злоумышленникам обходить политику одного происхождения. Злоумышленники способны вызвать режим no-cors в API fetch, чтобы попытаться получить доступ к ресурсам, что приводит к выбросу исключения и последующему раскрытию информации после его повторного выброса.
Затронутые версии ПО
- Mozilla Firefox до версии 43.0
Тип уязвимости
- Обход политики одного происхождения
- Раскрытие информации
Ссылки
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
Одно из
EPSS
5 Medium
CVSS2
Дефекты
Связанные уязвимости
The importScripts function in the Web Workers API implementation in Mozilla Firefox before 43.0 allows remote attackers to bypass the Same Origin Policy by triggering use of the no-cors mode in the fetch API to attempt resource access that throws an exception, leading to information disclosure after a rethrow.
The importScripts function in the Web Workers API implementation in Mozilla Firefox before 43.0 allows remote attackers to bypass the Same Origin Policy by triggering use of the no-cors mode in the fetch API to attempt resource access that throws an exception, leading to information disclosure after a rethrow.
The importScripts function in the Web Workers API implementation in Mo ...
The importScripts function in the Web Workers API implementation in Mozilla Firefox before 43.0 allows remote attackers to bypass the Same Origin Policy by triggering use of the no-cors mode in the fetch API to attempt resource access that throws an exception, leading to information disclosure after a rethrow.
Уязвимость браузера Firefox, позволяющая нарушителю обойти существующую политику ограничения доступа и привести к раскрытию информации
EPSS
5 Medium
CVSS2