Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-11747

Опубликовано: 27 сент. 2019
Источник: nvd
CVSS3: 6.5
CVSS2: 4.3
EPSS Низкий

Уязвимость некорректного удаления настроек HSTS функций "Забыть об этом сайте" в Firefox, позволяющая злоумышленнику отключить защиту HSTS

Описание

Функция "Забыть об этом сайте" ("Forget about this site") в панели истории предназначена для удаления всех сохранённых пользователем данных, которые указывают на посещение сайта. Это включает удаление любых настроек HTTP Strict Transport Security (HSTS), полученных с сайтов, которые используют эту функцию. Из-за ошибки у сайтов, находящихся в списке предварительной загрузки, также удаляются настройки HSTS. При следующем посещении этого сайта, если пользователь укажет URL с использованием http: вместо защищённого https:, предварительно загруженные настройки HSTS не обеспечат защиту. После этого посещения настройки HSTS сайта восстанавливаются.

Затронутые версии ПО

  • Firefox версии до 69
  • Firefox ESR версии до 68.1

Тип уязвимости

Подмена защиты HSTS

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 69.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 68.1.0 (исключая)

EPSS

Процентиль: 57%
0.00352
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-665

Связанные уязвимости

ubuntu логотип

CVE-2019-11747

CVSS3: 6.5
ubuntu
около 6 лет назад

The "Forget about this site" feature in the History pane is intended to remove all saved user data that indicates a user has visited a site. This includes removing any HTTP Strict Transport Security (HSTS) settings received from sites that use it. Due to a bug, sites on the pre-load list also have their HSTS setting removed. On the next visit to that site if the user specifies an http: URL rather than secure https: they will not be protected by the pre-loaded HSTS setting. After that visit the site's HSTS setting will be restored. This vulnerability affects Firefox < 69 and Firefox ESR < 68.1.

redhat логотип

CVE-2019-11747

CVSS3: 6.5
redhat
около 6 лет назад

The "Forget about this site" feature in the History pane is intended to remove all saved user data that indicates a user has visited a site. This includes removing any HTTP Strict Transport Security (HSTS) settings received from sites that use it. Due to a bug, sites on the pre-load list also have their HSTS setting removed. On the next visit to that site if the user specifies an http: URL rather than secure https: they will not be protected by the pre-loaded HSTS setting. After that visit the site's HSTS setting will be restored. This vulnerability affects Firefox < 69 and Firefox ESR < 68.1.

debian логотип

CVE-2019-11747

CVSS3: 6.5
debian
около 6 лет назад

The "Forget about this site" feature in the History pane is intended t ...

github логотип

GHSA-9f7j-g98g-532j

CVSS3: 6.5
github
больше 3 лет назад

The "Forget about this site" feature in the History pane is intended to remove all saved user data that indicates a user has visited a site. This includes removing any HTTP Strict Transport Security (HSTS) settings received from sites that use it. Due to a bug, sites on the pre-load list also have their HSTS setting removed. On the next visit to that site if the user specifies an http: URL rather than secure https: they will not be protected by the pre-loaded HSTS setting. After that visit the site's HSTS setting will be restored. This vulnerability affects Firefox < 69 and Firefox ESR < 68.1.

fstec логотип

BDU:2020-01825

CVSS3: 6.5
fstec
около 6 лет назад

Уязвимость браузера Firefox, связанная с неправильной инициализацией данных, позволяющая нарушителю нарушить целостность данных

EPSS

Процентиль: 57%
0.00352
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-665