Уязвимость обхода требований CORS для NPAPI-плагинов при перенаправлении с кодом 308, позволяющая выполнять атаки типа CSRF
Описание
Уязвимость заключается в том, что POST запросы, создаваемые с помощью NPAPI плагинов, таких как Flash, могут обходить требования кросс-доменного обмена ресурсами (CORS), если получают ответ о перенаправлении с кодом 308. Это позволяет злоумышленнику выполнять атаки кросс-доменного подделывания запросов (CSRF).
Затронутые версии ПО
- Firefox ESR версии до 60.8
- Firefox версии до 68
- Thunderbird версии до 60.8
Тип уязвимости
Подмена содержимого (Cross-Site Request Forgery - CSRF)
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
Уязвимые конфигурации
Одно из
EPSS
8.8 High
CVSS3
6.8 Medium
CVSS2
Дефекты
Связанные уязвимости
POST requests made by NPAPI plugins, such as Flash, that receive a status 308 redirect response can bypass CORS requirements. This can allow an attacker to perform Cross-Site Request Forgery (CSRF) attacks. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.
POST requests made by NPAPI plugins, such as Flash, that receive a status 308 redirect response can bypass CORS requirements. This can allow an attacker to perform Cross-Site Request Forgery (CSRF) attacks. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.
POST requests made by NPAPI plugins, such as Flash, that receive a sta ...
POST requests made by NPAPI plugins, such as Flash, that receive a status 308 redirect response can bypass CORS requirements. This can allow an attacker to perform Cross-Site Request Forgery (CSRF) attacks. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.
Уязвимость плагина NPAPI браузеров Firefox ESR, Firefox и почтового клиента Thunderbird, позволяющая нарушителю осуществить межсайтовую подделку запросов
EPSS
8.8 High
CVSS3
6.8 Medium
CVSS2