Уязвимость обхода заголовка X-Frame-Options на веб-сайтах через использование тегов object или embed в Thunderbird и Firefox
Описание
Существует уязвимость, позволяющая злоумышленникам обойти защиту веб-сайтов от фреймирования, даже если сайты установили заголовок X-Frame-Options, запрещающий фреймирование. Злоумышленник использует теги object или embed для обхода этой защиты.
Затронутые версии ПО
- Thunderbird до версии 78
- Firefox до версии 78.0.2
Тип уязвимости
Обход защиты
Ссылки
- Issue TrackingVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingVendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.5 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Using object or embed tags, it was possible to frame other websites, even if they disallowed framing using the X-Frame-Options header. This vulnerability affects Thunderbird < 78 and Firefox < 78.0.2.
Using object or embed tags, it was possible to frame other websites, even if they disallowed framing using the X-Frame-Options header. This vulnerability affects Thunderbird < 78 and Firefox < 78.0.2.
Using object or embed tags, it was possible to frame other websites, e ...
Using object or embed tags, it was possible to frame other websites, even if they disallowed framing using the X-Frame-Options header. This vulnerability affects Thunderbird < 78 and Firefox < 78.0.2.
EPSS
6.5 Medium
CVSS3
4.3 Medium
CVSS2