Уязвимость выполнения скриптов в Mozilla Firefox из-за некорректного наследования политики безопасности контента в элементах OBJECT
Описание
В браузере Mozilla Firefox обнаружена уязвимость, связанная с использованием URL-адресов с префиксом data: в элементе OBJECT. Эти URL-адреса не наследуют политику безопасности контента (CSP) от создающего контекста. Это позволяет выполнять скрипты, которые должны быть заблокированы, даже при наличии уникального непрозрачного происхождения (opaque origin).
Затронутые версии ПО
- Firefox версий до 76
Тип уязвимости
Выполнение скриптов
Ссылки
- Permissions Required
- Vendor Advisory
- Permissions Required
- Vendor Advisory
Уязвимые конфигурации
EPSS
7.5 High
CVSS3
5 Medium
CVSS2
Дефекты
Связанные уязвимости
Documents formed using data: URLs in an OBJECT element failed to inherit the CSP of the creating context. This allowed the execution of scripts that should have been blocked, albeit with a unique opaque origin. This vulnerability affects Firefox < 76.
Documents formed using data: URLs in an OBJECT element failed to inherit the CSP of the creating context. This allowed the execution of scripts that should have been blocked, albeit with a unique opaque origin. This vulnerability affects Firefox < 76.
Documents formed using data: URLs in an OBJECT element failed to inher ...
Documents formed using data: URLs in an OBJECT element failed to inherit the CSP of the creating context. This allowed the execution of scripts that should have been blocked, albeit with a unique opaque origin. This vulnerability affects Firefox < 76.
EPSS
7.5 High
CVSS3
5 Medium
CVSS2