Уязвимость в уведомлениях о разрешениях Media Capture and Streams API в Firefox из-за некорректного отображения домена-источника для "data:" и "blob:" URL
Описание
Если запрос на разрешение Media Capture and Streams API поступает из документов с URL, начинающихся с "data:" или "blob:", уведомления о разрешении некорректно отображают домен-источник. В уведомлении указывается "Неизвестный протокол" в качестве запрашивающего ресурса, что может ввести пользователя в заблуждение относительно того, какой сайт запрашивает это разрешение.
Затронутые версии ПО
- Mozilla Firefox версий ниже 59
Тип уязвимости
Подмена содержимого
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Permissions Required
- Third Party Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Permissions Required
- Third Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
5.3 Medium
CVSS3
5 Medium
CVSS2
Дефекты
Связанные уязвимости
If Media Capture and Streams API permission is requested from documents with "data:" or "blob:" URLs, the permission notifications do not properly display the originating domain. The notification states "Unknown protocol" as the requestee, leading to user confusion about which site is asking for this permission. This vulnerability affects Firefox < 59.
If Media Capture and Streams API permission is requested from document ...
If Media Capture and Streams API permission is requested from documents with "data:" or "blob:" URLs, the permission notifications do not properly display the originating domain. The notification states "Unknown protocol" as the requestee, leading to user confusion about which site is asking for this permission. This vulnerability affects Firefox < 59.
Уязвимость интерфейса для поддержки потокового аудио и видео данных Media Capture и Streams API браузера Mozilla Firefox, позволяющая нарушителю проводить межсайтовые сценарные атаки
EPSS
5.3 Medium
CVSS3
5 Medium
CVSS2