Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-11711

Опубликовано: 23 июл. 2019
Источник: nvd
CVSS3: 8.8
CVSS2: 6.8
EPSS Низкий

Уязвимость внедрения скрипта в различные страницы поддоменов в Firefox и Thunderbird через некорректное использование "document.domain"

Описание

При повторном использовании внутреннего окна игнорируется использование document.domain для защиты кросс-доменных соединений. Если страницы на разных поддоменах совместно используют document.domain, любая из страниц способна использовать это для внедрения скрипта в произвольные страницы на другом поддомене, даже в те, которые не использовали document.domain для снижения уровня безопасности происхождения.

Затронутые версии ПО

  • Firefox ESR до версии 60.8
  • Firefox до версии 68
  • Thunderbird до версии 60.8

Тип уязвимости

Внедрение скрипта

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 60.8.0 (исключая)
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 68.0 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 60.8.0 (исключая)
Конфигурация 2
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*

EPSS

Процентиль: 81%
0.0147
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

ubuntu логотип

CVE-2019-11711

CVSS3: 8.8
ubuntu
больше 6 лет назад

When an inner window is reused, it does not consider the use of document.domain for cross-origin protections. If pages on different subdomains ever cooperatively use document.domain, then either page can abuse this to inject script into arbitrary pages on the other subdomain, even those that did not use document.domain to relax their origin security. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

redhat логотип

CVE-2019-11711

CVSS3: 8.8
redhat
больше 6 лет назад

When an inner window is reused, it does not consider the use of document.domain for cross-origin protections. If pages on different subdomains ever cooperatively use document.domain, then either page can abuse this to inject script into arbitrary pages on the other subdomain, even those that did not use document.domain to relax their origin security. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

debian логотип

CVE-2019-11711

CVSS3: 8.8
debian
больше 6 лет назад

When an inner window is reused, it does not consider the use of docume ...

github логотип

GHSA-3cqf-mfjf-xv44

CVSS3: 8.8
github
больше 3 лет назад

When an inner window is reused, it does not consider the use of document.domain for cross-origin protections. If pages on different subdomains ever cooperatively use document.domain, then either page can abuse this to inject script into arbitrary pages on the other subdomain, even those that did not use document.domain to relax their origin security. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

fstec логотип

BDU:2019-02935

CVSS3: 8.8
fstec
больше 6 лет назад

Уязвимость компонента document.domain браузеров Firefox ESR, Firefox и почтового клиента Thunderbird, позволяющая нарушителю осуществить межсайтовую сценарную атаку

EPSS

Процентиль: 81%
0.0147
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

NVD-CWE-noinfo