Уязвимость доступа к фреймам с разных источников в WebExtensions с разрешением "ActiveTab" в Mozilla Firefox
Описание
WebExtensions с разрешением ActiveTab способны получить доступ к фреймам, размещённым внутри активной вкладки, даже если фреймы имеют другой источник. Злоумышленники, используя вредоносные расширения, могут внедрять фреймы из произвольных источников на загруженную страницу и взаимодействовать с ними, обходя ожидания пользователей, связанные с политикой одного происхождения.
Затронутые версии ПО
- Mozilla Firefox версий до 58
Тип уязвимости
Подмена содержимого
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingPermissions Required
- Third Party Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingPermissions Required
- Third Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
Связанные уязвимости
WebExtensions with the "ActiveTab" permission are able to access frames hosted within the active tab even if the frames are cross-origin. Malicious extensions can inject frames from arbitrary origins into the loaded page and then interact with them, bypassing same-origin user expectations with this permission. This vulnerability affects Firefox < 58.
WebExtensions with the "ActiveTab" permission are able to access frame ...
WebExtensions with the "ActiveTab" permission are able to access frames hosted within the active tab even if the frames are cross-origin. Malicious extensions can inject frames from arbitrary origins into the loaded page and then interact with them, bypassing same-origin user expectations with this permission. This vulnerability affects Firefox < 58.
Уязвимость расширения WebExtensions браузера Mozilla Firefox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, нарушить их целостность, а также вызвать отказ в обслуживании
EPSS
9.8 Critical
CVSS3
7.5 High
CVSS2