Уязвимость включения кросс-доменных скриптов или обход политики безопасности контента в Firefox и Thunderbird через некорректное исполнение MIME-типов
Описание
Firefox не блокирует выполнение скриптов с некорректными MIME-типами, когда ответ перехватывается и кэшируется с помощью ServiceWorker. Это приводит к уязвимости включения кросс-доменных скриптов или обходу политики безопасности контента.
Затронутые версии ПО
- Firefox версий до 83
- Firefox ESR версий до 78.5
- Thunderbird версий до 78.5
Тип уязвимости
- Кросс-доменное включение скриптов
- Обход политики безопасности контента
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Firefox did not block execution of scripts with incorrect MIME types when the response was intercepted and cached through a ServiceWorker. This could lead to a cross-site script inclusion vulnerability, or a Content Security Policy bypass. This vulnerability affects Firefox < 83, Firefox ESR < 78.5, and Thunderbird < 78.5.
Firefox did not block execution of scripts with incorrect MIME types when the response was intercepted and cached through a ServiceWorker. This could lead to a cross-site script inclusion vulnerability, or a Content Security Policy bypass. This vulnerability affects Firefox < 83, Firefox ESR < 78.5, and Thunderbird < 78.5.
Firefox did not block execution of scripts with incorrect MIME types w ...
Firefox did not block execution of scripts with incorrect MIME types when the response was intercepted and cached through a ServiceWorker. This could lead to a cross-site script inclusion vulnerability, or a Content Security Policy bypass. This vulnerability affects Firefox < 83, Firefox ESR < 78.5, and Thunderbird < 78.5.
EPSS
6.1 Medium
CVSS3
4.3 Medium
CVSS2