Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-5176

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 6.1
CVSS2: 4.3
EPSS Низкий

Уязвимость выполнения вредоносного кода в JSON Viewer Mozilla Firefox через обработку ссылок типа "javascript:"

Описание

JSON Viewer в Mozilla Firefox отображает кликабельные гиперссылки для строк, которые могут быть интерпретированы как URL, включая ссылки типа javascript:. Если в файле JSON содержится вредоносный JavaScript-код, встроенный в виде ссылок типа javascript:, пользователи могут быть обмануты и могут кликнуть на эти ссылки, запустив код в контексте JSON Viewer. Это может позволить злоумышленникам красть cookies и токены авторизации, доступные в этом контексте.

Затронутые версии ПО

  • версии Mozilla Firefox до 60

Тип уязвимости

  • Выполнение вредоносного кода
  • Кража данных

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:17.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
Конфигурация 2
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 60.0 (исключая)

EPSS

Процентиль: 63%
0.0045
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

ubuntu логотип

CVE-2018-5176

CVSS3: 6.1
ubuntu
около 7 лет назад

The JSON Viewer displays clickable hyperlinks for strings that are parseable as URLs, including "javascript:" links. If a JSON file contains malicious JavaScript script embedded as "javascript:" links, users may be tricked into clicking and running this code in the context of the JSON Viewer. This can allow for the theft of cookies and authorization tokens which are accessible to that context. This vulnerability affects Firefox < 60.

redhat логотип

CVE-2018-5176

CVSS3: 6.1
redhat
около 7 лет назад

The JSON Viewer displays clickable hyperlinks for strings that are parseable as URLs, including "javascript:" links. If a JSON file contains malicious JavaScript script embedded as "javascript:" links, users may be tricked into clicking and running this code in the context of the JSON Viewer. This can allow for the theft of cookies and authorization tokens which are accessible to that context. This vulnerability affects Firefox < 60.

debian логотип

CVE-2018-5176

CVSS3: 6.1
debian
около 7 лет назад

The JSON Viewer displays clickable hyperlinks for strings that are par ...

github логотип

GHSA-x4p5-q86p-74vp

CVSS3: 6.1
github
около 3 лет назад

The JSON Viewer displays clickable hyperlinks for strings that are parseable as URLs, including "javascript:" links. If a JSON file contains malicious JavaScript script embedded as "javascript:" links, users may be tricked into clicking and running this code in the context of the JSON Viewer. This can allow for the theft of cookies and authorization tokens which are accessible to that context. This vulnerability affects Firefox < 60.

fstec логотип

BDU:2019-03516

CVSS3: 6.1
fstec
больше 6 лет назад

Уязвимость средства просмотра JSON файлов JSON Viewer браузера Firefox, позволяющая нарушителю осуществлять межсайтовые сценарные атаки

EPSS

Процентиль: 63%
0.0045
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-20