Уязвимость межсайтового доступа к именам заголовков ответа в Firefox из-за некорректной реализации политики одного происхождения
Описание
В Firefox обнаружена уязвимость, связанная с тем, что интернирование имён заголовков в заголовках ответа не реализует защиту, соответствующую политике одного происхождения (same-origin policy). Эти заголовки хранятся в глобальном реестре, что позволяет именам заголовков становиться доступными для других источников (cross-origin).
Затронутые версии ПО
- Firefox версий до 55
Тип уязвимости
Уязвимость межсайтового доступа к именам заголовков ответа
Ссылки
- Third Party AdvisoryVDB Entry
- ExploitIssue TrackingPatch
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- ExploitIssue TrackingPatch
- Vendor Advisory
Уязвимые конфигурации
EPSS
7.5 High
CVSS3
5 Medium
CVSS2
Дефекты
Связанные уязвимости
Response header name interning does not have same-origin protections and these headers are stored in a global registry. This allows stored header names to be available cross-origin. This vulnerability affects Firefox < 55.
Response header name interning does not have same-origin protections and these headers are stored in a global registry. This allows stored header names to be available cross-origin. This vulnerability affects Firefox < 55.
Response header name interning does not have same-origin protections a ...
Response header name interning does not have same-origin protections and these headers are stored in a global registry. This allows stored header names to be available cross-origin. This vulnerability affects Firefox < 55.
Уязвимость браузера Firefox, связанная с отсутствием одинаковой защиты для интернирования имен заголовков ответов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
7.5 High
CVSS3
5 Medium
CVSS2