Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-35111

Опубликовано: 07 янв. 2021
Источник: nvd
CVSS3: 4.3
CVSS2: 4.3
EPSS Низкий

Уязвимость утечки IP-адреса пользователя через использование View Source в браузерах Mozilla Firefox и Thunderbird

Описание

Когда расширение с разрешением прокси зарегистрировано для получения <all_urls>, обратный вызов proxy.onRequest не срабатывает для URL-адресов с префиксом view-source. Хотя веб-контент не может перейти по таким URL, пользователь, открывая исходный код страницы (View Source), способен непреднамеренно раскрыть свой IP-адрес.

Затронутые версии ПО

  • Firefox до релиза 84
  • Thunderbird до релиза 78.6
  • Firefox ESR до релиза 78.6

Тип уязвимости

Утечка информации

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 84.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 78.6.0 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 78.6.0 (исключая)

EPSS

Процентиль: 54%
0.00318
Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

ubuntu логотип

CVE-2020-35111

CVSS3: 4.3
ubuntu
около 5 лет назад

When an extension with the proxy permission registered to receive <all_urls>, the proxy.onRequest callback was not triggered for view-source URLs. While web content cannot navigate to such URLs, a user opening View Source could have inadvertently leaked their IP address. This vulnerability affects Firefox < 84, Thunderbird < 78.6, and Firefox ESR < 78.6.

redhat логотип

CVE-2020-35111

CVSS3: 4.3
redhat
около 5 лет назад

When an extension with the proxy permission registered to receive <all_urls>, the proxy.onRequest callback was not triggered for view-source URLs. While web content cannot navigate to such URLs, a user opening View Source could have inadvertently leaked their IP address. This vulnerability affects Firefox < 84, Thunderbird < 78.6, and Firefox ESR < 78.6.

debian логотип

CVE-2020-35111

CVSS3: 4.3
debian
около 5 лет назад

When an extension with the proxy permission registered to receive <all ...

github логотип

GHSA-ww34-37gv-7gf7

github
больше 3 лет назад

When an extension with the proxy permission registered to receive <all_urls>, the proxy.onRequest callback was not triggered for view-source URLs. While web content cannot navigate to such URLs, a user opening View Source could have inadvertently leaked their IP address. This vulnerability affects Firefox < 84, Thunderbird < 78.6, and Firefox ESR < 78.6.

oracle-oval логотип

ELSA-2020-5624-1

oracle-oval
около 5 лет назад

ELSA-2020-5624-1: thunderbird security update (IMPORTANT)

EPSS

Процентиль: 54%
0.00318
Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

NVD-CWE-noinfo