Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-15653

Опубликовано: 10 авг. 2020
Источник: nvd
CVSS3: 6.5
CVSS2: 4.3
EPSS Низкий

Уязвимость обхода элемента "iframe sandbox" в Firefox и Thunderbird при использовании флагов "allow-popups" и "noopener"

Описание

Элемент iframe sandbox с флагом allow-popups может быть обойдён при использовании ссылок с noopener. Это приводит к проблемам безопасности для веб-сайтов, полагающихся на конфигурации песочницы, которые позволяют всплывающие окна и хранят произвольный контент.

Затронутые версии ПО

  • Firefox ESR версий до 78.1
  • Firefox версий до 79
  • Thunderbird версий до 78.1

Тип уязвимости

Обход конфигурации песочницы

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 79.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 78.1 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 78.1 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:*

EPSS

Процентиль: 54%
0.00313
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

NVD-CWE-Other

Связанные уязвимости

ubuntu логотип

CVE-2020-15653

CVSS3: 6.5
ubuntu
около 5 лет назад

An iframe sandbox element with the allow-popups flag could be bypassed when using noopener links. This could have led to security issues for websites relying on sandbox configurations that allowed popups and hosted arbitrary content. This vulnerability affects Firefox ESR < 78.1, Firefox < 79, and Thunderbird < 78.1.

redhat логотип

CVE-2020-15653

CVSS3: 6.1
redhat
около 5 лет назад

An iframe sandbox element with the allow-popups flag could be bypassed when using noopener links. This could have led to security issues for websites relying on sandbox configurations that allowed popups and hosted arbitrary content. This vulnerability affects Firefox ESR < 78.1, Firefox < 79, and Thunderbird < 78.1.

debian логотип

CVE-2020-15653

CVSS3: 6.5
debian
около 5 лет назад

An iframe sandbox element with the allow-popups flag could be bypassed ...

github логотип

GHSA-vcgf-4q4f-3267

CVSS3: 6.5
github
больше 3 лет назад

An iframe sandbox element with the allow-popups flag could be bypassed when using noopener links. This could have led to security issues for websites relying on sandbox configurations that allowed popups and hosted arbitrary content. This vulnerability affects Firefox ESR < 78.1, Firefox < 79, and Thunderbird < 78.1.

fstec логотип

BDU:2022-05735

CVSS3: 6.5
fstec
около 5 лет назад

Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с неправильными настройками прав доступа по умолчанию, позволяющая нарушителю обойти существующие ограничения безопасности

EPSS

Процентиль: 54%
0.00313
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

NVD-CWE-Other