Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-6808

Опубликовано: 25 мар. 2020
Источник: nvd
CVSS3: 6.5
CVSS2: 4.3
EPSS Низкий

Уязвимость подмены URL в Mozilla Firefox при использовании JavaScript URL

Описание

При выполнении JavaScript URL (javascript:), если результатом является строка, она парсится для создания HTML-документа, который затем отображается. Ранее URL этого документа (например, в свойстве document.location) соответствовал начальной ссылке javascript:, что могло вести к атакам типа спуфинг. Сейчас URL корректно отражает адрес исходного документа.

Затронутые версии ПО

  • Firefox версий ниже 74

Тип уязвимости

Спуфинг (подмена)

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 74.0 (исключая)

EPSS

Процентиль: 57%
0.00356
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-290

Связанные уязвимости

ubuntu логотип

CVE-2020-6808

CVSS3: 6.5
ubuntu
почти 6 лет назад

When a JavaScript URL (javascript:) is evaluated and the result is a string, this string is parsed to create an HTML document, which is then presented. Previously, this document's URL (as reported by the document.location property, for example) was the originating javascript: URL which could lead to spoofing attacks; it is now correctly the URL of the originating document. This vulnerability affects Firefox < 74.

redhat логотип

CVE-2020-6808

CVSS3: 6.1
redhat
почти 6 лет назад

When a JavaScript URL (javascript:) is evaluated and the result is a string, this string is parsed to create an HTML document, which is then presented. Previously, this document's URL (as reported by the document.location property, for example) was the originating javascript: URL which could lead to spoofing attacks; it is now correctly the URL of the originating document. This vulnerability affects Firefox < 74.

debian логотип

CVE-2020-6808

CVSS3: 6.5
debian
почти 6 лет назад

When a JavaScript URL (javascript:) is evaluated and the result is a s ...

github логотип

GHSA-5c26-qqvr-j75w

github
больше 3 лет назад

When a JavaScript URL (javascript:) is evaluated and the result is a string, this string is parsed to create an HTML document, which is then presented. Previously, this document's URL (as reported by the document.location property, for example) was the originating javascript: URL which could lead to spoofing attacks; it is now correctly the URL of the originating document. This vulnerability affects Firefox < 74.

EPSS

Процентиль: 57%
0.00356
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-290