Уязвимость обхода ограничений и внедрения скриптов с использованием функции "browser.tabs.executeScript" в WebExtensions в Mozilla Firefox
Описание
WebExtensions способны обходить обычные ограничения в некоторых случаях и использовать функцию browser.tabs.executeScript для внедрения скриптов в контексты, где это не должно быть разрешено, такие как страницы других WebExtensions или неподдерживаемые страницы с префиксом "about:".
Затронутые версии ПО
- Mozilla Firefox версии ниже 59
Тип уязвимости
- Обход ограничений безопасности
- Внедрение скриптов
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Permissions Required
- Third Party Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Permissions Required
- Third Party Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
7.5 High
CVSS3
5 Medium
CVSS2
Дефекты
Связанные уязвимости
WebExtensions can bypass normal restrictions in some circumstances and use "browser.tabs.executeScript" to inject scripts into contexts where this should not be allowed, such as pages from other WebExtensions or unprivileged "about:" pages. This vulnerability affects Firefox < 59.
WebExtensions can bypass normal restrictions in some circumstances and ...
WebExtensions can bypass normal restrictions in some circumstances and use "browser.tabs.executeScript" to inject scripts into contexts where this should not be allowed, such as pages from other WebExtensions or unprivileged "about:" pages. This vulnerability affects Firefox < 59.
Уязвимость функции browser.tabs.executeScript () расширения WebExtensions браузера Mozilla Firefox, позволяющая нарушителю проводить межсайтовые сценарные атаки
EPSS
7.5 High
CVSS3
5 Medium
CVSS2