Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-7788

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 9.8
CVSS2: 7.5
EPSS Низкий

Уязвимость обхода политики безопасности контента (CSP) в iframe с атрибутом "sandbox" в Mozilla Firefox

Описание

В Mozilla Firefox обнаружена уязвимость, когда элемент iframe с атрибутом sandbox и содержимым, заданным через srcdoc, не наследует политику безопасности контента (CSP) от содержащей страницы, как это должно происходить. Исключением является ситуация, когда в атрибуте sandbox указано allow-same-origin.

Затронутые версии ПО

  • Firefox версий до 55

Тип уязвимости

Обход политики безопасности контента (CSP)

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 55.0 (исключая)

EPSS

Процентиль: 83%
0.01918
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-74

Связанные уязвимости

ubuntu логотип

CVE-2017-7788

CVSS3: 9.8
ubuntu
больше 7 лет назад

When an "iframe" has a "sandbox" attribute and its content is specified using "srcdoc", that content does not inherit the containing page's Content Security Policy (CSP) as it should unless the sandbox attribute included "allow-same-origin". This vulnerability affects Firefox < 55.

redhat логотип

CVE-2017-7788

CVSS3: 9.8
redhat
больше 8 лет назад

When an "iframe" has a "sandbox" attribute and its content is specified using "srcdoc", that content does not inherit the containing page's Content Security Policy (CSP) as it should unless the sandbox attribute included "allow-same-origin". This vulnerability affects Firefox < 55.

debian логотип

CVE-2017-7788

CVSS3: 9.8
debian
больше 7 лет назад

When an "iframe" has a "sandbox" attribute and its content is specifie ...

github логотип

GHSA-rcj2-hjg7-xj8p

CVSS3: 9.8
github
больше 3 лет назад

When an "iframe" has a "sandbox" attribute and its content is specified using "srcdoc", that content does not inherit the containing page's Content Security Policy (CSP) as it should unless the sandbox attribute included "allow-same-origin". This vulnerability affects Firefox < 55.

fstec логотип

BDU:2021-00122

CVSS3: 9.8
fstec
больше 11 лет назад

Уязвимость браузера Mozilla Firefox, связанная с ошибкой наследования политики безопасности содержимого, позволяющая нарушителю обойти ограничения безопасности

EPSS

Процентиль: 83%
0.01918
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-74