Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-23968

Опубликовано: 26 фев. 2021
Источник: nvd
CVSS3: 4.3
CVSS2: 4.3
EPSS Низкий

Уязвимость утечки информации из-за некорректной обработки Content Security Policy в Mozilla Firefox и Thunderbird

Описание

Если Content Security Policy (CSP) блокировал навигацию внутри фрейма, в отчете о нарушении указывался полный адрес назначения перенаправления, обслуживаемого внутри фрейма, вместо исходного URI фрейма. Это могло использоваться для утечки конфиденциальной информации, содержащейся в таких URI.

Затронутые версии ПО

  • Firefox версий до 86
  • Thunderbird версий до 78.8
  • Firefox ESR версий до 78.8

Тип уязвимости

Утечка информации

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 86.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 78.8 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 78.8 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

EPSS

Процентиль: 58%
0.00363
Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-209

Связанные уязвимости

ubuntu логотип

CVE-2021-23968

CVSS3: 4.3
ubuntu
почти 5 лет назад

If Content Security Policy blocked frame navigation, the full destination of a redirect served in the frame was reported in the violation report; as opposed to the original frame URI. This could be used to leak sensitive information contained in such URIs. This vulnerability affects Firefox < 86, Thunderbird < 78.8, and Firefox ESR < 78.8.

redhat логотип

CVE-2021-23968

CVSS3: 4.3
redhat
почти 5 лет назад

If Content Security Policy blocked frame navigation, the full destination of a redirect served in the frame was reported in the violation report; as opposed to the original frame URI. This could be used to leak sensitive information contained in such URIs. This vulnerability affects Firefox < 86, Thunderbird < 78.8, and Firefox ESR < 78.8.

debian логотип

CVE-2021-23968

CVSS3: 4.3
debian
почти 5 лет назад

If Content Security Policy blocked frame navigation, the full destinat ...

github логотип

GHSA-94jc-v9rf-w32j

CVSS3: 4.3
github
больше 3 лет назад

If Content Security Policy blocked frame navigation, the full destination of a redirect served in the frame was reported in the violation report; as opposed to the original frame URI. This could be used to leak sensitive information contained in such URIs. This vulnerability affects Firefox < 86, Thunderbird < 78.8, and Firefox ESR < 78.8.

suse-cvrf логотип

openSUSE-SU-2021:0387-1

suse-cvrf
почти 5 лет назад

Security update for MozillaThunderbird

EPSS

Процентиль: 58%
0.00363
Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-209