Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-5466

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 6.1
CVSS2: 4.3
EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Thunderbird и Firefox из-за некорректного определения происхождения при перезагрузке страницы с URL "data:text/html"

Описание

Если страница загружается с оригинального сайта через гиперссылку и содержит перенаправление на URL "data:text/html", то последующая перезагрузка приводит к некорректному определению происхождения перезагруженной страницы "data:text/html". Это позволяет злоумышленнику осуществить атаку межсайтового скриптинга (XSS).

Затронутые версии ПО

  • Thunderbird версии ниже 52.1
  • Firefox ESR версии ниже 52.1
  • Firefox версии ниже 53

Тип уязвимости

Межсайтовый скриптинг (XSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
Конфигурация 2
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 52.1.0 (исключая)
Конфигурация 3
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 53.0 (исключая)
Конфигурация 4
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 52.1.0 (исключая)

EPSS

Процентиль: 59%
0.00389
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2017-5466

CVSS3: 6.1
ubuntu
около 7 лет назад

If a page is loaded from an original site through a hyperlink and contains a redirect to a "data:text/html" URL, triggering a reload will run the reloaded "data:text/html" page with its origin set incorrectly. This allows for a cross-site scripting (XSS) attack. This vulnerability affects Thunderbird < 52.1, Firefox ESR < 52.1, and Firefox < 53.

redhat логотип

CVE-2017-5466

CVSS3: 6.1
redhat
больше 8 лет назад

If a page is loaded from an original site through a hyperlink and contains a redirect to a "data:text/html" URL, triggering a reload will run the reloaded "data:text/html" page with its origin set incorrectly. This allows for a cross-site scripting (XSS) attack. This vulnerability affects Thunderbird < 52.1, Firefox ESR < 52.1, and Firefox < 53.

debian логотип

CVE-2017-5466

CVSS3: 6.1
debian
около 7 лет назад

If a page is loaded from an original site through a hyperlink and cont ...

github логотип

GHSA-hx2v-35mh-6pxc

CVSS3: 6.1
github
около 3 лет назад

If a page is loaded from an original site through a hyperlink and contains a redirect to a "data:text/html" URL, triggering a reload will run the reloaded "data:text/html" page with its origin set incorrectly. This allows for a cross-site scripting (XSS) attack. This vulnerability affects Thunderbird < 52.1, Firefox ESR < 52.1, and Firefox < 53.

fstec логотип

BDU:2021-00038

CVSS3: 6.1
fstec
больше 8 лет назад

Уязвимость браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная c непринятием мер по защите структуры веб-страницы, позволяющая нарушителю нарушителю проводить межсайтовые сценарные атаки

EPSS

Процентиль: 59%
0.00389
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79