Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-11763

Опубликовано: 08 янв. 2020
Источник: nvd
CVSS3: 6.1
CVSS2: 4.3
EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Mozilla Firefox и Thunderbird из-за некорректной обработки нулевых байтов при обработке HTML-сущностей

Описание

В Mozilla Firefox и Thunderbird некорректная обработка нулевых байтов при обработке HTML-сущностей (entities) приводит к неправильному разбору этих сущностей. Это позволяет злоумышленнику повлиять на поведение веб-приложения, например, текст комментария HTML может быть воспринят как HTML-код, что при определенных условиях приводит к межсайтовому скриптингу (XSS). Также это позволяет скрывать HTML-сущности от фильтров, что дает возможность замаскировать интересующие злоумышленника символы.

Затронутые версии ПО

  • Firefox версии до 70
  • Thunderbird версии до 68.2
  • Firefox ESR версии до 68.2

Тип уязвимости

Межсайтовый скриптинг (XSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 70.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 68.2 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 68.2 (исключая)
Конфигурация 2
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:*

EPSS

Процентиль: 77%
0.01133
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2019-11763

CVSS3: 6.1
ubuntu
больше 5 лет назад

Failure to correctly handle null bytes when processing HTML entities resulted in Firefox incorrectly parsing these entities. This could have led to HTML comment text being treated as HTML which could have led to XSS in a web application under certain conditions. It could have also led to HTML entities being masked from filters - enabling the use of entities to mask the actual characters of interest from filters. This vulnerability affects Firefox < 70, Thunderbird < 68.2, and Firefox ESR < 68.2.

redhat логотип

CVE-2019-11763

CVSS3: 6.1
redhat
больше 5 лет назад

Failure to correctly handle null bytes when processing HTML entities resulted in Firefox incorrectly parsing these entities. This could have led to HTML comment text being treated as HTML which could have led to XSS in a web application under certain conditions. It could have also led to HTML entities being masked from filters - enabling the use of entities to mask the actual characters of interest from filters. This vulnerability affects Firefox < 70, Thunderbird < 68.2, and Firefox ESR < 68.2.

debian логотип

CVE-2019-11763

CVSS3: 6.1
debian
больше 5 лет назад

Failure to correctly handle null bytes when processing HTML entities r ...

github логотип

GHSA-94c9-r5wv-7vj8

CVSS3: 6.1
github
около 3 лет назад

Failure to correctly handle null bytes when processing HTML entities resulted in Firefox incorrectly parsing these entities. This could have led to HTML comment text being treated as HTML which could have led to XSS in a web application under certain conditions. It could have also led to HTML entities being masked from filters - enabling the use of entities to mask the actual characters of interest from filters. This vulnerability affects Firefox < 70, Thunderbird < 68.2, and Firefox ESR < 68.2.

fstec логотип

BDU:2020-01412

CVSS3: 6.1
fstec
больше 5 лет назад

Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с некорректной нейтрализацией ввода при генерации веб-страницы, позволяющая нарушителю оказать воздействие на целостность данных

EPSS

Процентиль: 77%
0.01133
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79