Уязвимость межсайтового скриптинга (XSS) в Mozilla Firefox и Thunderbird при удалении HTML-элементов в процессе очистки данных
Описание
Некорректное удаление HTML-элементов во время очистки способно сохранить существующие обработчики событий SVG, что ведет к уязвимости межсайтового скриптинга (XSS).
Затронутые версии ПО
- Firefox версии 82 и ниже
- Firefox ESR версии 78.4 и ниже
- Thunderbird версии 78.4 и ниже
Тип уязвимости
Межсайтовый скриптинг (XSS)
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
In some cases, removing HTML elements during sanitization would keep existing SVG event handlers and therefore lead to XSS. This vulnerability affects Firefox < 83, Firefox ESR < 78.5, and Thunderbird < 78.5.
In some cases, removing HTML elements during sanitization would keep existing SVG event handlers and therefore lead to XSS. This vulnerability affects Firefox < 83, Firefox ESR < 78.5, and Thunderbird < 78.5.
In some cases, removing HTML elements during sanitization would keep e ...
In some cases, removing HTML elements during sanitization would keep existing SVG event handlers and therefore lead to XSS. This vulnerability affects Firefox < 83, Firefox ESR < 78.5, and Thunderbird < 78.5.
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2