Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-9803

Опубликовано: 26 апр. 2019
Источник: nvd
CVSS3: 7.4
CVSS2: 5.8
EPSS Низкий

Уязвимость некорректного перехода на HTTP URL в Firefox, позволяющий проводить манипуляции с данными через атаки "man-in-the-middle"

Описание

Спецификация Upgrade-Insecure-Requests (UIR) гласит, что если UIR включён через Content Security Policy (CSP), то навигация на URL с тем же происхождением должна быть обновлена до HTTPS. Firefox в некоторых случаях некорректно переходит на HTTP URL вместо выполнения запрашиваемого CSP обновления безопасности, что допускает атаки типа "человек в середине" (man-in-the-middle) на связанные ресурсы.

Затронутые версии ПО

  • Firefox версий до 66

Тип уязвимости

Атака типа "человек в середине" (man-in-the-middle)

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 66.0 (исключая)

EPSS

Процентиль: 33%
0.0013
Низкий

7.4 High

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-346

Связанные уязвимости

ubuntu логотип

CVE-2019-9803

CVSS3: 7.4
ubuntu
почти 7 лет назад

The Upgrade-Insecure-Requests (UIR) specification states that if UIR is enabled through Content Security Policy (CSP), navigation to a same-origin URL must be upgraded to HTTPS. Firefox will incorrectly navigate to an HTTP URL rather than perform the security upgrade requested by the CSP in some circumstances, allowing for potential man-in-the-middle attacks on the linked resources. This vulnerability affects Firefox < 66.

debian логотип

CVE-2019-9803

CVSS3: 7.4
debian
почти 7 лет назад

The Upgrade-Insecure-Requests (UIR) specification states that if UIR i ...

github логотип

GHSA-6h7p-w66v-f7vw

CVSS3: 7.4
github
больше 3 лет назад

The Upgrade-Insecure-Requests (UIR) specification states that if UIR is enabled through Content Security Policy (CSP), navigation to a same-origin URL must be upgraded to HTTPS. Firefox will incorrectly navigate to an HTTP URL rather than perform the security upgrade requested by the CSP in some circumstances, allowing for potential man-in-the-middle attacks on the linked resources. This vulnerability affects Firefox < 66.

fstec логотип

BDU:2020-00592

CVSS3: 7.4
fstec
почти 7 лет назад

Уязвимость спецификации Upgrade-Insecure-Requests браузера Firefox, связанная с ошибкой подтверждения источника данных, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

EPSS

Процентиль: 33%
0.0013
Низкий

7.4 High

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-346