Уязвимость загрузки контент-скриптов WebExtension в страницы "about:" в Mozilla Firefox в обход разрешений расширений
Описание
В некоторых случаях контент-скрипты WebExtension могут быть загружены в страницы about:, что нарушает предоставленные расширениям разрешения. Это позволяет расширению вмешиваться в процесс загрузки и использования этих страниц, а также использовать функции, которые предназначались для ограничения доступа у расширений.
Затронутые версии ПО
- Mozilla Firefox версии ниже 64
Тип уязвимости
Подмена разрешений расширений и вмешательство в работу страниц about:
Ссылки
- Third Party AdvisoryVDB Entry
- Issue TrackingPermissions RequiredVendor Advisory
- Third Party Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Issue TrackingPermissions RequiredVendor Advisory
- Third Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.5 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
WebExtension content scripts can be loaded into about: pages in some circumstances, in violation of the permissions granted to extensions. This could allow an extension to interfere with the loading and usage of these pages and use capabilities that were intended to be restricted from extensions. This vulnerability affects Firefox < 64.
WebExtension content scripts can be loaded into about: pages in some circumstances, in violation of the permissions granted to extensions. This could allow an extension to interfere with the loading and usage of these pages and use capabilities that were intended to be restricted from extensions. This vulnerability affects Firefox < 64.
WebExtension content scripts can be loaded into about: pages in some c ...
WebExtension content scripts can be loaded into about: pages in some circumstances, in violation of the permissions granted to extensions. This could allow an extension to interfere with the loading and usage of these pages and use capabilities that were intended to be restricted from extensions. This vulnerability affects Firefox < 64.
Уязвимость компонента WebExtension браузера Firefox, позволяющая нарушителю получить доступ к конфиденциальным данным
EPSS
6.5 Medium
CVSS3
4.3 Medium
CVSS2