Уязвимость чтения кросс-доменных изображений в нарушение политики одного происхождения в Mozilla Firefox через использование "createImageBitmap"
Описание
Злоумышленник способен читать кросс-доменные изображения в нарушение политики одного происхождения. Это осуществляется путем использования функции createImageBitmap, которая позволяет читать изображение, а затем рендерить полученное изображение в элементе canvas.
Затронутые версии ПО
- Mozilla Firefox до версии 66
Тип уязвимости
- Чтение данных
- Нарушение политики одного происхождения
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
5.3 Medium
CVSS3
5 Medium
CVSS2
Дефекты
Связанные уязвимости
Cross-origin images can be read in violation of the same-origin policy by exporting an image after using createImageBitmap to read the image and then rendering the resulting bitmap image within a canvas element. This vulnerability affects Firefox < 66.
Cross-origin images can be read in violation of the same-origin policy by exporting an image after using createImageBitmap to read the image and then rendering the resulting bitmap image within a canvas element. This vulnerability affects Firefox < 66.
Cross-origin images can be read in violation of the same-origin policy ...
Cross-origin images can be read in violation of the same-origin policy by exporting an image after using createImageBitmap to read the image and then rendering the resulting bitmap image within a canvas element. This vulnerability affects Firefox < 66.
Уязвимость функции createImageBitmap браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с ошибкой подтверждения источника данных, позволяющая нарушителю раскрыть защищаемую информацию
EPSS
5.3 Medium
CVSS3
5 Medium
CVSS2