Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-5167

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 4.3
CVSS2: 4.3
EPSS Низкий

Уязвимость возможности перехода по гиперссылкам на внутренние страницы Chrome через веб-консоль и отладчик JavaScript в Mozilla Firefox

Описание

Веб-консоль и отладчик JavaScript в Mozilla Firefox некорректно обрабатывают все выводимые данные, которые могут быть представлены в виде гиперссылок. Оба инструмента отображают ссылки вида chrome: как активные и кликабельные гиперссылки в своем выводе. Веб-сайты не должны иметь возможность напрямую ссылаться на внутренние страницы Chrome. Кроме того, отладчик JavaScript отображает ссылки вида javascript:, и пользователи могут быть обмануты вредоносными сайтами для перехода по ним.

Затронутые версии ПО

  • Firefox ниже версии 60

Тип уязвимости

Подделка содержимого

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:17.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
Конфигурация 2
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 60.0 (исключая)

EPSS

Процентиль: 70%
0.00646
Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

ubuntu логотип

CVE-2018-5167

CVSS3: 4.3
ubuntu
больше 7 лет назад

The web console and JavaScript debugger do not sanitize all output that can be hyperlinked. Both will display "chrome:" links as active, clickable hyperlinks in their output. Web sites should not be able to directly link to internal chrome pages. Additionally, the JavaScript debugger will display "javascript:" links, which users could be tricked into clicking by malicious sites. This vulnerability affects Firefox < 60.

redhat логотип

CVE-2018-5167

CVSS3: 4.3
redhat
больше 7 лет назад

The web console and JavaScript debugger do not sanitize all output that can be hyperlinked. Both will display "chrome:" links as active, clickable hyperlinks in their output. Web sites should not be able to directly link to internal chrome pages. Additionally, the JavaScript debugger will display "javascript:" links, which users could be tricked into clicking by malicious sites. This vulnerability affects Firefox < 60.

debian логотип

CVE-2018-5167

CVSS3: 4.3
debian
больше 7 лет назад

The web console and JavaScript debugger do not sanitize all output tha ...

github логотип

GHSA-f8v9-9j4r-5fw9

CVSS3: 4.3
github
больше 3 лет назад

The web console and JavaScript debugger do not sanitize all output that can be hyperlinked. Both will display "chrome:" links as active, clickable hyperlinks in their output. Web sites should not be able to directly link to internal chrome pages. Additionally, the JavaScript debugger will display "javascript:" links, which users could be tricked into clicking by malicious sites. This vulnerability affects Firefox < 60.

fstec логотип

BDU:2019-03318

CVSS3: 5.3
fstec
больше 7 лет назад

Уязвимость веб-консоли и JavaScript-отладчика браузера Firefox ESR, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 70%
0.00646
Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-20