Уязвимость подмены отображаемого HTML содержимого в предварительном просмотре RSS-лент в Mozilla Firefox через некорректную обработку параметров URL
Описание
Механизм внедрения статического HTML в страницу предварительного просмотра RSS-ридера возникает из-за некорректной экранизации символов, отправленных в качестве URL-параметров для элемента "TITLE" ленты. Эта уязвимость позволяет осуществлять подмену отображаемого содержимого, однако запуск скриптового кода невозможен.
Затронутые версии ПО
Firefox версий ниже 53
Тип уязвимости
Подмена отображаемого содержимого (спуфинг)
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingVendor Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
4.3 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
A mechanism to inject static HTML into the RSS reader preview page due to a failure to escape characters sent as URL parameters for a feed's "TITLE" element. This vulnerability allows for spoofing but no scripted content can be run. This vulnerability affects Firefox < 53.
A mechanism to inject static HTML into the RSS reader preview page due to a failure to escape characters sent as URL parameters for a feed's "TITLE" element. This vulnerability allows for spoofing but no scripted content can be run. This vulnerability affects Firefox < 53.
A mechanism to inject static HTML into the RSS reader preview page due ...
A mechanism to inject static HTML into the RSS reader preview page due to a failure to escape characters sent as URL parameters for a feed's "TITLE" element. This vulnerability allows for spoofing but no scripted content can be run. This vulnerability affects Firefox < 53.
EPSS
4.3 Medium
CVSS3
4.3 Medium
CVSS2