Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-7840

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 6.1
CVSS2: 4.3
EPSS Низкий

Уязвимость выполнения JavaScript кода из файла с закладками в Mozilla Firefox через внедрение пользовательских тегов

Описание

JavaScript код может быть внедрён в файл с экспортированными закладками путём добавления кода в пользовательские теги сохранённых закладок. Если сформированный HTML файл впоследствии открыт в браузере, то этот JavaScript код будет выполнен. Это может быть использовано в атаках социальной инженерии и атаках self-XSS, если пользователей убедят добавить вредоносные теги в закладки, экспортировать их и затем открыть полученный файл.

Затронутые версии ПО

  • Firefox версии ниже 57

Тип уязвимости

  • Внедрение кода
  • Межсайтовый скриптинг (XSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 56.0.2 (включая)

EPSS

Процентиль: 70%
0.00633
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2017-7840

CVSS3: 6.1
ubuntu
больше 7 лет назад

JavaScript can be injected into an exported bookmarks file by placing JavaScript code into user-supplied tags in saved bookmarks. If the resulting exported HTML file is later opened in a browser this JavaScript will be executed. This could be used in social engineering and self-cross-site-scripting (self-XSS) attacks if users were convinced to add malicious tags to bookmarks, export them, and then open the resulting file. This vulnerability affects Firefox < 57.

debian логотип

CVE-2017-7840

CVSS3: 6.1
debian
больше 7 лет назад

JavaScript can be injected into an exported bookmarks file by placing ...

github логотип

GHSA-gx4h-qpc9-477w

CVSS3: 6.1
github
больше 3 лет назад

JavaScript can be injected into an exported bookmarks file by placing JavaScript code into user-supplied tags in saved bookmarks. If the resulting exported HTML file is later opened in a browser this JavaScript will be executed. This could be used in social engineering and self-cross-site-scripting (self-XSS) attacks if users were convinced to add malicious tags to bookmarks, export them, and then open the resulting file. This vulnerability affects Firefox < 57.

fstec логотип

BDU:2021-00235

CVSS3: 6.1
fstec
больше 8 лет назад

Уязвимость браузера Mozilla Firefox, связанная с недостатками используемых мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки

EPSS

Процентиль: 70%
0.00633
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79