Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-7839

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 6.1
CVSS2: 4.3
EPSS Низкий

Уязвимость некорректной обработки URL с JavaScript в адресной строке в Mozilla Firefox, используемая для атак социальной инженерии и self-XSS

Описание

Некоторые управляющие символы могут добавляться перед URL, начинающимся с "javascript:", вводимым в адресную строку. Это может привести к игнорированию первых символов, и вставленный JavaScript будет выполнен вместо блокировки. Злоумышленники могут использовать такую уязвимость для атак социальной инженерии и self-cross-site-scripting (self-XSS), убеждая пользователей копировать и вставлять текст в адресную строку.

Затронутые версии ПО

  • Mozilla Firefox версии ниже 57

Тип уязвимости

  • Подмена
  • self-cross-site-scripting (self-XSS)
  • Атаки социальной инженерии

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 56.0.2 (включая)

EPSS

Процентиль: 70%
0.00633
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2017-7839

CVSS3: 6.1
ubuntu
больше 7 лет назад

Control characters prepended before "javascript:" URLs pasted in the addressbar can cause the leading characters to be ignored and the pasted JavaScript to be executed instead of being blocked. This could be used in social engineering and self-cross-site-scripting (self-XSS) attacks where users are convinced to copy and paste text into the addressbar. This vulnerability affects Firefox < 57.

debian логотип

CVE-2017-7839

CVSS3: 6.1
debian
больше 7 лет назад

Control characters prepended before "javascript:" URLs pasted in the a ...

github логотип

GHSA-42vq-2prv-qxmf

CVSS3: 6.1
github
больше 3 лет назад

Control characters prepended before "javascript:" URLs pasted in the addressbar can cause the leading characters to be ignored and the pasted JavaScript to be executed instead of being blocked. This could be used in social engineering and self-cross-site-scripting (self-XSS) attacks where users are convinced to copy and paste text into the addressbar. This vulnerability affects Firefox < 57.

fstec логотип

BDU:2021-00234

CVSS3: 6.1
fstec
больше 8 лет назад

Уязвимость браузера Mozilla Firefox, связанная с игнорированием ведущих символов javascript в адресной строке, позволяющая нарушителю проводить межсайтовые сценарные атаки

EPSS

Процентиль: 70%
0.00633
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79