Уязвимость обхода политики безопасности контента (CSP) в Firefox через некорректное применение к содержимому с MIME-типом "multipart/x-mixed-replace"
Описание
Политика безопасности контента (CSP) некорректно применяется ко всем частям составного содержимого, отправленного с MIME-типом "multipart/x-mixed-replace". Это позволяет выполнение скриптов, которые CSP должен блокировать, создавая возможность для атак типа межсайтового скриптинга (XSS) и других угроз.
Затронутые версии ПО
- Firefox версии до 60
Тип уязвимости
- Межсайтовый скриптинг (XSS)
- Обход политики безопасности контента (CSP)
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingPermissions Required
- Third Party Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingPermissions Required
- Third Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Content Security Policy (CSP) is not applied correctly to all parts of multipart content sent with the "multipart/x-mixed-replace" MIME type. This could allow for script to run where CSP should block it, allowing for cross-site scripting (XSS) and other attacks. This vulnerability affects Firefox < 60.
Content Security Policy (CSP) is not applied correctly to all parts of multipart content sent with the "multipart/x-mixed-replace" MIME type. This could allow for script to run where CSP should block it, allowing for cross-site scripting (XSS) and other attacks. This vulnerability affects Firefox < 60.
Content Security Policy (CSP) is not applied correctly to all parts of ...
Content Security Policy (CSP) is not applied correctly to all parts of multipart content sent with the "multipart/x-mixed-replace" MIME type. This could allow for script to run where CSP should block it, allowing for cross-site scripting (XSS) and other attacks. This vulnerability affects Firefox < 60.
Уязвимость компонента Content Security Policy (CSP) браузера Firefox ESR, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2