Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-17020

Опубликовано: 08 янв. 2020
Источник: nvd
CVSS3: 6.5
CVSS2: 4.3
EPSS Низкий

Уязвимость обхода Content Security Policy при использовании XSL стилевых листов в документах XML в Mozilla Firefox

Описание

Когда XML файл подается с политикой Content Security Policy, и этот XML файл включает XSL стилевой лист, политика безопасности контента не применяется к содержимому XSL стилевого листа. Это означает, что если XSL стилевой лист содержит, например, JavaScript, он способен обойти любые ограничения политики Content Security Policy, примененные к XML документу.

Затронутые версии ПО

  • Firefox до 72

Тип уязвимости

Обход политики безопасности контента

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 72.0 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:19.04:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:*

EPSS

Процентиль: 46%
0.00232
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-611

Связанные уязвимости

ubuntu логотип

CVE-2019-17020

CVSS3: 6.5
ubuntu
около 6 лет назад

If an XML file is served with a Content Security Policy and the XML file includes an XSL stylesheet, the Content Security Policy will not be applied to the contents of the XSL stylesheet. If the XSL sheet e.g. includes JavaScript, it would bypass any of the restrictions of the Content Security Policy applied to the XML document. This vulnerability affects Firefox < 72.

redhat логотип

CVE-2019-17020

CVSS3: 6.5
redhat
около 6 лет назад

If an XML file is served with a Content Security Policy and the XML file includes an XSL stylesheet, the Content Security Policy will not be applied to the contents of the XSL stylesheet. If the XSL sheet e.g. includes JavaScript, it would bypass any of the restrictions of the Content Security Policy applied to the XML document. This vulnerability affects Firefox < 72.

debian логотип

CVE-2019-17020

CVSS3: 6.5
debian
около 6 лет назад

If an XML file is served with a Content Security Policy and the XML fi ...

github логотип

GHSA-p8vh-p3hc-xm35

github
больше 3 лет назад

If an XML file is served with a Content Security Policy and the XML file includes an XSL stylesheet, the Content Security Policy will not be applied to the contents of the XSL stylesheet. If the XSL sheet e.g. includes JavaScript, it would bypass any of the restrictions of the Content Security Policy applied to the XML document. This vulnerability affects Firefox < 72.

fstec логотип

BDU:2020-01454

CVSS3: 6.5
fstec
около 6 лет назад

Уязвимость браузера Firefox, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю оказать воздействие на целостность данных

EPSS

Процентиль: 46%
0.00232
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-611