Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-12370

Опубликовано: 18 окт. 2018
Источник: nvd
CVSS3: 8.8
CVSS2: 6.8
EPSS Низкий

Уязвимость обхода защиты от CSRF-атак через некорректную проверку защиты SameSite cookie в режиме чтения в Firefox

Описание

В режиме чтения в браузере Firefox защита SameSite cookie не проверяется при выходе из этого режима. Это позволяет злоумышленнику активировать вредоносную нагрузку при выходе из режима чтения, если вредоносный сайт был загружен, когда этот режим был активен, тем самым обходя защиты от CSRF-атак.

Затронутые версии ПО

  • Firefox версий ниже 61

Тип уязвимости

Обход защиты от CSRF-атак

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:17.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
Конфигурация 2
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 61.0 (исключая)

EPSS

Процентиль: 52%
0.00289
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-352

Связанные уязвимости

ubuntu логотип

CVE-2018-12370

CVSS3: 8.8
ubuntu
больше 7 лет назад

In Reader View SameSite cookie protections are not checked on exiting. This allows for a payload to be triggered when Reader View is exited if loaded by a malicious site while Reader mode is active, bypassing CSRF protections. This vulnerability affects Firefox < 61.

redhat логотип

CVE-2018-12370

CVSS3: 8.8
redhat
больше 7 лет назад

In Reader View SameSite cookie protections are not checked on exiting. This allows for a payload to be triggered when Reader View is exited if loaded by a malicious site while Reader mode is active, bypassing CSRF protections. This vulnerability affects Firefox < 61.

debian логотип

CVE-2018-12370

CVSS3: 8.8
debian
больше 7 лет назад

In Reader View SameSite cookie protections are not checked on exiting. ...

github логотип

GHSA-v7w8-65gc-378f

CVSS3: 8.8
github
больше 3 лет назад

In Reader View SameSite cookie protections are not checked on exiting. This allows for a payload to be triggered when Reader View is exited if loaded by a malicious site while Reader mode is active, bypassing CSRF protections. This vulnerability affects Firefox < 61.

fstec логотип

BDU:2019-04291

CVSS3: 8.8
fstec
больше 7 лет назад

Уязвимость функции Reader View браузера Firefox, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 52%
0.00289
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-352