Уязвимость обхода политики безопасности контента (CSP) в Mozilla Firefox через выполнение JavaScript с использованием тега object
Описание
Политика безопасности контента (CSP), блокирующая встроенные скрипты, может быть обойдена с использованием тега object для выполнения JavaScript в защищенном документе, что приводит к межсайтовому скриптингу (cross-site scripting, XSS).
Затронутые версии ПО
- Firefox версий ниже 70. Уязвимость присутствовала только в версии Firefox 69 и не встречалась в предыдущих версиях.
Тип уязвимости
Межсайтовый скриптинг (XSS)
Ссылки
- Permissions Required
- Vendor Advisory
- Permissions Required
- Vendor Advisory
Уязвимые конфигурации
EPSS
6.1 Medium
CVSS3
5.8 Medium
CVSS2
Дефекты
Связанные уязвимости
A Content-Security-Policy that blocks in-line scripts could be bypassed using an object tag to execute JavaScript in the protected document (cross-site scripting). This is a separate bypass from CVE-2019-17000.*Note: This flaw only affected Firefox 69 and was not present in earlier versions.*. This vulnerability affects Firefox < 70.
A Content-Security-Policy that blocks in-line scripts could be bypasse ...
A Content-Security-Policy that blocks in-line scripts could be bypassed using an object tag to execute JavaScript in the protected document (cross-site scripting). This is a separate bypass from CVE-2019-17000.*Note: This flaw only affected Firefox 69 and was not present in earlier versions.*. This vulnerability affects Firefox < 70.
Уязвимость политики безопасности веб-браузера Firefox, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным и оказать воздействие на целостность данных
EPSS
6.1 Medium
CVSS3
5.8 Medium
CVSS2