Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-15682

Опубликовано: 22 окт. 2020
Источник: nvd
CVSS3: 6.5
CVSS2: 4.3
EPSS Низкий

Уязвимость спуфинга в Mozilla Firefox из-за некорректной ассоциации всплывающего окна с протоколами

Описание

Когда пользователь кликает по ссылке на внешний протокол, отображается всплывающее окно, которое позволяет выбрать приложение для открытия этой ссылки. Злоумышленник может заставить это всплывающее окно ассоциироваться с неправильным происхождением, что приводит к подмене (спуфингу). Эта проблема была решена путём изменения окна запроса для внешних протоколов на таб-ориентированный модальный формат (tab-modal) и обеспечения их корректной привязки только к соответствующему источнику.

Затронутые версии ПО

  • Firefox до версии 82

Тип уязвимости

Спуфинг

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 82.0 (исключая)

EPSS

Процентиль: 33%
0.00133
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-346

Связанные уязвимости

ubuntu логотип

CVE-2020-15682

CVSS3: 6.5
ubuntu
больше 5 лет назад

When a link to an external protocol was clicked, a prompt was presented that allowed the user to choose what application to open it in. An attacker could induce that prompt to be associated with an origin they didn't control, resulting in a spoofing attack. This was fixed by changing external protocol prompts to be tab-modal while also ensuring they could not be incorrectly associated with a different origin. This vulnerability affects Firefox < 82.

debian логотип

CVE-2020-15682

CVSS3: 6.5
debian
больше 5 лет назад

When a link to an external protocol was clicked, a prompt was presente ...

github логотип

GHSA-hx45-gw2r-332x

github
больше 3 лет назад

When a link to an external protocol was clicked, a prompt was presented that allowed the user to choose what application to open it in. An attacker could induce that prompt to be associated with an origin they didn't control, resulting in a spoofing attack. This was fixed by changing external protocol prompts to be tab-modal while also ensuring they could not be incorrectly associated with a different origin. This vulnerability affects Firefox < 82.

fstec логотип

BDU:2022-05932

CVSS3: 6.5
fstec
больше 5 лет назад

Уязвимость браузера Mozilla Firefox, связанная с недостатком в механизме подтверждения источника данных, позволяющая нарушителю проводить спуфинг-атаки

EPSS

Процентиль: 33%
0.00133
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-346