Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-5143

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 6.1
CVSS2: 4.3
EPSS Низкий

Уязвимость выполнения межсайтового скриптинга (XSS) в Mozilla Firefox при использовании URL с протоколом "javascript:"

Описание

В URL, начинающихся с "javascript:", протокол удаляется при вставке в адресную строку с целью защиты пользователей от атак межсайтового скриптинга (XSS). Однако, если в URL-адресе с "javascript:" содержится табуляция, протокол не удаляется, и скрипт выполнится. Это позволяет злоумышленникам использовать методы социальной инженерии, чтобы заставить пользователей невольно запустить XSS атаку против самих себя.

Затронутые версии ПО

  • Firefox версий ниже 59

Тип уязвимости

Выполнение межсайтового скриптинга (XSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 59.0 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:17.10:*:*:*:*:*:*:*

EPSS

Процентиль: 64%
0.00468
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2018-5143

CVSS3: 6.1
ubuntu
больше 7 лет назад

URLs using "javascript:" have the protocol removed when pasted into the addressbar to protect users from cross-site scripting (XSS) attacks, but if a tab character is embedded in the "javascript:" URL the protocol is not removed and the script will execute. This could allow users to be socially engineered to run an XSS attack against themselves. This vulnerability affects Firefox < 59.

debian логотип

CVE-2018-5143

CVSS3: 6.1
debian
больше 7 лет назад

URLs using "javascript:" have the protocol removed when pasted into th ...

github логотип

GHSA-qqw6-4m7h-4hwr

CVSS3: 6.1
github
больше 3 лет назад

URLs using "javascript:" have the protocol removed when pasted into the addressbar to protect users from cross-site scripting (XSS) attacks, but if a tab character is embedded in the "javascript:" URL the protocol is not removed and the script will execute. This could allow users to be socially engineered to run an XSS attack against themselves. This vulnerability affects Firefox < 59.

fstec логотип

BDU:2021-00426

CVSS3: 6.1
fstec
около 8 лет назад

Уязвимость реализации языка программирования JavaScript браузера Mozilla Firefox, позволяющая нарушителю проводить межсайтовые сценарные атаки

EPSS

Процентиль: 64%
0.00468
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79