Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2016-1967

Опубликовано: 13 мар. 2016
Источник: nvd
CVSS3: 6.5
CVSS2: 4.3
EPSS Низкий

Уязвимость обхода политики одного происхождения в Mozilla Firefox через некорректное ограничение доступности времени API ресурсного тайминга IFRAME

Описание

В версиях Mozilla Firefox до 45.0 время, связанное с API ресурсного тайминга IFRAME, не ограничивается должным образом, что позволяет злоумышленнику обойти политику одного происхождения и получить доступ к конфиденциальной информации. Для этого злоумышленник использует специально подобранный JavaScript-код, который задействует функции history.back и performance.getEntries после восстановления сеанса браузера. Эта уязвимость возникла из-за неполного исправления для CVE-2015-7207.

Затронутые версии ПО

  • Mozilla Firefox версии до 45.0

Тип уязвимости

  • Обход политики одного происхождения
  • Утечка информации

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 44.0.2 (включая)

EPSS

Процентиль: 59%
0.00379
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-200

Связанные уязвимости

ubuntu логотип

CVE-2016-1967

CVSS3: 6.5
ubuntu
почти 10 лет назад

Mozilla Firefox before 45.0 does not properly restrict the availability of IFRAME Resource Timing API times, which allows remote attackers to bypass the Same Origin Policy and obtain sensitive information via crafted JavaScript code that leverages history.back and performance.getEntries calls after restoring a browser session. NOTE: this vulnerability exists because of an incomplete fix for CVE-2015-7207.

redhat логотип

CVE-2016-1967

redhat
почти 10 лет назад

Mozilla Firefox before 45.0 does not properly restrict the availability of IFRAME Resource Timing API times, which allows remote attackers to bypass the Same Origin Policy and obtain sensitive information via crafted JavaScript code that leverages history.back and performance.getEntries calls after restoring a browser session. NOTE: this vulnerability exists because of an incomplete fix for CVE-2015-7207.

debian логотип

CVE-2016-1967

CVSS3: 6.5
debian
почти 10 лет назад

Mozilla Firefox before 45.0 does not properly restrict the availabilit ...

github логотип

GHSA-697m-2pgc-69m6

CVSS3: 6.5
github
больше 3 лет назад

Mozilla Firefox before 45.0 does not properly restrict the availability of IFRAME Resource Timing API times, which allows remote attackers to bypass the Same Origin Policy and obtain sensitive information via crafted JavaScript code that leverages history.back and performance.getEntries calls after restoring a browser session. NOTE: this vulnerability exists because of an incomplete fix for CVE-2015-7207.

fstec логотип

BDU:2016-00751

fstec
почти 10 лет назад

Уязвимость браузера Firefox, позволяющая нарушителю получить конфиденциальную информацию или обойти существующую политику ограничения доступа

EPSS

Процентиль: 59%
0.00379
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-200