CVE-2019-11725

Опубликовано: 23 июл. 2019

Источник: nvd

CVSS3: 6.5

CVSS2: 4

EPSS Низкий

Уязвимость обхода защиты от небезопасных сайтов в Mozilla Firefox через некорректную блокировку ресурсов, загруженных через WebSocket

Описание

Когда пользователь переходит на сайт, отмеченный как небезопасный с помощью API Safebrowsing, отображаются предупреждающие сообщения и переход прерывается. Однако ресурсы с этого же сайта, загружаемые через WebSocket, не блокируются, что приводит к загрузке небезопасных ресурсов и обходу защиты Safebrowsing.

Затронутые версии ПО

Firefox версий до 68

Тип уязвимости

Обход защиты

Ссылки

http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html
Mailing List
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=1483510
Issue Tracking
Permissions Required
Vendor Advisory
https://security.gentoo.org/glsa/201908-12
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2019-21/
Vendor Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html
Mailing List
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=1483510
Issue Tracking
Permissions Required
Vendor Advisory
https://security.gentoo.org/glsa/201908-12
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2019-21/
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 68.0 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:opensuse:leap:15.0:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*

EPSS

Процентиль: 46%

0.00232

Низкий

6.5 Medium

CVSS3

4 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

CVE-2019-11725

CVSS3: 6.5

ubuntu

больше 6 лет назад

When a user navigates to site marked as unsafe by the Safebrowsing API, warning messages are displayed and navigation is interrupted but resources from the same site loaded through websockets are not blocked, leading to the loading of unsafe resources and bypassing safebrowsing protections. This vulnerability affects Firefox < 68.

CVE-2019-11725

CVSS3: 6.5

redhat

больше 6 лет назад

CVE-2019-11725

CVSS3: 6.5

debian

больше 6 лет назад

When a user navigates to site marked as unsafe by the Safebrowsing API ...

GHSA-8h36-rwvg-grvq

CVSS3: 6.5

github

больше 3 лет назад

BDU:2024-07610

CVSS3: 6.5

fstec

больше 7 лет назад

Уязвимость веб-браузера Firefox, связанная с недостатками процедуры авторизации, позволяющая нарушителю оказать воздействие на целостность данных

EPSS

Процентиль: 46%

0.00232

Низкий

6.5 Medium

CVSS3

4 Medium

CVSS2

Дефекты

NVD-CWE-noinfo