Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-11741

Опубликовано: 27 сент. 2019
Источник: nvd
CVSS3: 6.1
CVSS2: 4.3
EPSS Низкий

Уязвимость выполнения межсайтового скриптинга (UXSS) в изолированной среде процессов Firefox через манипуляцию контентом

Описание

Скомпрометированный процесс, работающий в изолированной среде, способен выполнить атаку межсайтового скриптинга (UXSS) на контент любого сайта, который может быть загружен в тот же процесс. Из-за тесной интеграции addons.mozilla.org и accounts.firefox.com с продуктом Firefox, злоумышленник может использовать манипуляцию этими сайтами внутри браузера для изменения конфигурации Firefox пользователя. Эти два сайта теперь изолируются в отдельный процесс и не могут загружаться в стандартный процесс контента.

Затронутые версии ПО

  • Firefox версии ниже 69

Тип уязвимости

Межсайтовый скриптинг (UXSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 69.0 (исключая)

EPSS

Процентиль: 52%
0.0029
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2019-11741

CVSS3: 6.1
ubuntu
больше 5 лет назад

A compromised sandboxed content process can perform a Universal Cross-site Scripting (UXSS) attack on content from any site it can cause to be loaded in the same process. Because addons.mozilla.org and accounts.firefox.com have close ties to the Firefox product, malicious manipulation of these sites within the browser can potentially be used to modify a user's Firefox configuration. These two sites will now be isolated into their own process and not allowed to be loaded in a standard content process. This vulnerability affects Firefox < 69.

redhat логотип

CVE-2019-11741

CVSS3: 6.1
redhat
почти 6 лет назад

A compromised sandboxed content process can perform a Universal Cross-site Scripting (UXSS) attack on content from any site it can cause to be loaded in the same process. Because addons.mozilla.org and accounts.firefox.com have close ties to the Firefox product, malicious manipulation of these sites within the browser can potentially be used to modify a user's Firefox configuration. These two sites will now be isolated into their own process and not allowed to be loaded in a standard content process. This vulnerability affects Firefox < 69.

debian логотип

CVE-2019-11741

CVSS3: 6.1
debian
больше 5 лет назад

A compromised sandboxed content process can perform a Universal Cross- ...

github логотип

GHSA-vj65-q8qp-f8ff

CVSS3: 6.1
github
около 3 лет назад

A compromised sandboxed content process can perform a Universal Cross-site Scripting (UXSS) attack on content from any site it can cause to be loaded in the same process. Because addons.mozilla.org and accounts.firefox.com have close ties to the Firefox product, malicious manipulation of these sites within the browser can potentially be used to modify a user's Firefox configuration. These two sites will now be isolated into their own process and not allowed to be loaded in a standard content process. This vulnerability affects Firefox < 69.

fstec логотип

BDU:2020-01823

CVSS3: 4.7
fstec
больше 5 лет назад

Уязвимость браузера Firefox, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю нарушить целостность данных

EPSS

Процентиль: 52%
0.0029
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79