Уязвимость нарушения политики одного происхождения в Firefox для Android, позволяющая читать локальные данные через переход с HTTP или HTTPS URL на локальные "file:" URL
Описание
Уязвимость в Firefox для Android позволяет злоумышленнику использовать URL-адреса типа Android intent для перехода с HTTP или HTTPS URL на локальные "file:" URL. Это нарушает политику одного происхождения и дает возможность читать локальные данные.
Затронутые версии ПО
- Firefox для Android версий до 54
Тип уязвимости
Нарушение политики одного происхождения
Замечание
Эта атака затрагивает только Firefox для Android. Другие операционные системы не затронуты.
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- ExploitIssue TrackingPatch
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- ExploitIssue TrackingPatch
- Vendor Advisory
Уязвимые конфигурации
EPSS
7.5 High
CVSS3
5 Medium
CVSS2
Дефекты
Связанные уязвимости
Android intent URLs given to Firefox for Android can be used to navigate from HTTP or HTTPS URLs to local "file:" URLs, allowing for the reading of local data through a violation of same-origin policy. Note: This attack only affects Firefox for Android. Other operating systems are not affected. This vulnerability affects Firefox < 54.
Android intent URLs given to Firefox for Android can be used to naviga ...
Android intent URLs given to Firefox for Android can be used to navigate from HTTP or HTTPS URLs to local "file:" URLs, allowing for the reading of local data through a violation of same-origin policy. Note: This attack only affects Firefox for Android. Other operating systems are not affected. This vulnerability affects Firefox < 54.
EPSS
7.5 High
CVSS3
5 Medium
CVSS2