Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-11762

Опубликовано: 08 янв. 2020
Источник: nvd
CVSS3: 6.1
CVSS2: 5.8
EPSS Низкий

Уязвимость выполнения произвольных DOM-методов в Mozilla Firefox и Thunderbird при изменении политики одного происхождения на кросс-доменную

Описание

Если два документа с одной и той же политикой происхождения изменяют document.domain, чтобы стать кросс-доменными, они способны вызывать произвольные DOM-методы, свойства или функции на теперь уже кросс-доменном окне.

Затронутые версии ПО

  • Firefox версий до 70
  • Thunderbird версий до 68.2
  • Firefox ESR версий до 68.2

Тип уязвимости

Кросс-доменное выполнение произвольных DOM-методов

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 70.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 68.2 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 68.2 (исключая)
Конфигурация 2
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:*

EPSS

Процентиль: 57%
0.00355
Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-346

Связанные уязвимости

ubuntu логотип

CVE-2019-11762

CVSS3: 6.1
ubuntu
больше 5 лет назад

If two same-origin documents set document.domain differently to become cross-origin, it was possible for them to call arbitrary DOM methods/getters/setters on the now-cross-origin window. This vulnerability affects Firefox < 70, Thunderbird < 68.2, and Firefox ESR < 68.2.

redhat логотип

CVE-2019-11762

CVSS3: 6.1
redhat
больше 5 лет назад

If two same-origin documents set document.domain differently to become cross-origin, it was possible for them to call arbitrary DOM methods/getters/setters on the now-cross-origin window. This vulnerability affects Firefox < 70, Thunderbird < 68.2, and Firefox ESR < 68.2.

debian логотип

CVE-2019-11762

CVSS3: 6.1
debian
больше 5 лет назад

If two same-origin documents set document.domain differently to become ...

github логотип

GHSA-cq7g-rmcx-793w

CVSS3: 6.1
github
около 3 лет назад

If two same-origin documents set document.domain differently to become cross-origin, it was possible for them to call arbitrary DOM methods/getters/setters on the now-cross-origin window. This vulnerability affects Firefox < 70, Thunderbird < 68.2, and Firefox ESR < 68.2.

fstec логотип

BDU:2020-01406

CVSS3: 6.1
fstec
больше 5 лет назад

Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с ошибкой вызова произвольных методов у двух одинаковых документов, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

EPSS

Процентиль: 57%
0.00355
Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-346