Уязвимость выполнения межсайтового скриптинга (XSS) в Mozilla Firefox из-за некорректной обработки JavaScript в атрибутах обработчика событий элемента MARQUEE
Описание
В Mozilla Firefox и Firefox ESR обнаружена уязвимость, которая позволяет злоумышленникам выполнить межсайтовый скриптинг (XSS) на целевом сайте. Проблема связана с обработкой атрибутов обработчика событий JavaScript элемента MARQUEE в пределах элемента IFRAME с изоляцией (sandbox), не содержащего значения sandbox="allow-scripts".
Затронутые версии ПО
- Mozilla Firefox до версии 48.0
- Mozilla Firefox ESR 45.x до версии 45.3
Тип уязвимости
Межсайтовый скриптинг (XSS)
Ссылки
- Vendor Advisory
- Third Party Advisory
- Issue TrackingPermissions Required
- Vendor Advisory
- Third Party Advisory
Уязвимые конфигурации
Одно из
Одно из
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Mozilla Firefox before 48.0 and Firefox ESR 45.x before 45.3 process JavaScript event-handler attributes of a MARQUEE element within a sandboxed IFRAME element that lacks the sandbox="allow-scripts" attribute value, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via a crafted web site.
Mozilla Firefox before 48.0 and Firefox ESR 45.x before 45.3 process JavaScript event-handler attributes of a MARQUEE element within a sandboxed IFRAME element that lacks the sandbox="allow-scripts" attribute value, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via a crafted web site.
Mozilla Firefox before 48.0 and Firefox ESR 45.x before 45.3 process J ...
Mozilla Firefox before 48.0 and Firefox ESR 45.x before 45.3 process JavaScript event-handler attributes of a MARQUEE element within a sandboxed IFRAME element that lacks the sandbox="allow-scripts" attribute value, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via a crafted web site.
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2