Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-11743

Опубликовано: 27 сент. 2019
Источник: nvd
CVSS3: 3.7
CVSS2: 4.3
EPSS Низкий

Уязвимость раскрытия кросс-доменной информации в Mozilla Firefox и Thunderbird через некорректное соблюдение спецификации "Navigation-Timing Level 2" для события выгрузки

Описание

События навигации не полностью соответствуют черновой спецификации Navigation-Timing Level 2 от W3C в некоторых ситуациях, связанных с событием unload. Спецификация ограничивает доступ к детализированным атрибутам тайминга только для объектов с одним и тем же происхождением, из-за чего возможно раскрытие кросс-доменной информации о посещённой истории через тайминг-атаку.

Затронутые версии ПО

  • Firefox версии ниже 69
  • Thunderbird версии ниже 68.1 и 60.9
  • Firefox ESR версии ниже 60.9 и 68.1

Тип уязвимости

Раскрытие информации

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 69.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 60.9.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия от 68.0 (включая) до 68.1.0 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 60.9.0 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия от 68.0 (включая) до 68.1.0 (исключая)

EPSS

Процентиль: 76%
0.00989
Низкий

3.7 Low

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-203

Связанные уязвимости

ubuntu логотип

CVE-2019-11743

CVSS3: 3.7
ubuntu
около 6 лет назад

Navigation events were not fully adhering to the W3C's "Navigation-Timing Level 2" draft specification in some instances for the unload event, which restricts access to detailed timing attributes to only be same-origin. This resulted in potential cross-origin information exposure of history through timing side-channel attacks. This vulnerability affects Firefox < 69, Thunderbird < 68.1, Thunderbird < 60.9, Firefox ESR < 60.9, and Firefox ESR < 68.1.

redhat логотип

CVE-2019-11743

CVSS3: 3.7
redhat
около 6 лет назад

Navigation events were not fully adhering to the W3C's "Navigation-Timing Level 2" draft specification in some instances for the unload event, which restricts access to detailed timing attributes to only be same-origin. This resulted in potential cross-origin information exposure of history through timing side-channel attacks. This vulnerability affects Firefox < 69, Thunderbird < 68.1, Thunderbird < 60.9, Firefox ESR < 60.9, and Firefox ESR < 68.1.

debian логотип

CVE-2019-11743

CVSS3: 3.7
debian
около 6 лет назад

Navigation events were not fully adhering to the W3C's "Navigation-Tim ...

github логотип

GHSA-98fg-hp5j-cm68

github
больше 3 лет назад

Navigation events were not fully adhering to the W3C's "Navigation-Timing Level 2" draft specification in some instances for the unload event, which restricts access to detailed timing attributes to only be same-origin. This resulted in potential cross-origin information exposure of history through timing side-channel attacks. This vulnerability affects Firefox < 69, Thunderbird < 68.1, Thunderbird < 60.9, Firefox ESR < 60.9, and Firefox ESR < 68.1.

fstec логотип

BDU:2020-01398

CVSS3: 3.7
fstec
около 6 лет назад

Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с ошибкой навигации событий, которые не соответствовали спецификации W3C, позволяющая нарушителю получить доступ к конфиденциальным данным

EPSS

Процентиль: 76%
0.00989
Низкий

3.7 Low

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-203