Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-23969

Опубликовано: 26 фев. 2021
Источник: nvd
CVSS3: 4.3
CVSS2: 4.3
EPSS Низкий

Уязвимость утечки информации из-за некорректной обработки URL-адресов при нарушении политики безопасности контента (CSP) в Mozilla Firefox и Thunderbird

Описание

Согласно черновику спецификации W3C Content Security Policy, при создании отчета о нарушении "агенты пользователя должны гарантировать, что исходный файл соответствует URL, запрошенному страницей до перенаправлений. Если это невозможно, агенты пользователя должны сократить URL до источника (origin), чтобы избежать непреднамеренной утечки информации."

В некоторых случаях перенаправления Firefox некорректно устанавливал исходный файл как конечный URL перенаправления, что могло привести к утечке данных. Эта проблема была исправлена: теперь в качестве исходного файла используется только источник (origin) конечного перенаправления.

Затронутые версии ПО

  • Firefox версий до 86
  • Thunderbird версий до 78.8
  • Firefox ESR версий до 78.8

Тип уязвимости

Утечка информации

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 86.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 78.8 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 78.8 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

EPSS

Процентиль: 77%
0.0102
Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

ubuntu логотип

CVE-2021-23969

CVSS3: 4.3
ubuntu
почти 5 лет назад

As specified in the W3C Content Security Policy draft, when creating a violation report, "User agents need to ensure that the source file is the URL requested by the page, pre-redirects. If that’s not possible, user agents need to strip the URL down to an origin to avoid unintentional leakage." Under certain types of redirects, Firefox incorrectly set the source file to be the destination of the redirects. This was fixed to be the redirect destination's origin. This vulnerability affects Firefox < 86, Thunderbird < 78.8, and Firefox ESR < 78.8.

redhat логотип

CVE-2021-23969

CVSS3: 4.3
redhat
почти 5 лет назад

As specified in the W3C Content Security Policy draft, when creating a violation report, "User agents need to ensure that the source file is the URL requested by the page, pre-redirects. If that’s not possible, user agents need to strip the URL down to an origin to avoid unintentional leakage." Under certain types of redirects, Firefox incorrectly set the source file to be the destination of the redirects. This was fixed to be the redirect destination's origin. This vulnerability affects Firefox < 86, Thunderbird < 78.8, and Firefox ESR < 78.8.

debian логотип

CVE-2021-23969

CVSS3: 4.3
debian
почти 5 лет назад

As specified in the W3C Content Security Policy draft, when creating a ...

github логотип

GHSA-hrpc-c9c2-pj6w

CVSS3: 4.3
github
больше 3 лет назад

As specified in the W3C Content Security Policy draft, when creating a violation report, "User agents need to ensure that the source file is the URL requested by the page, pre-redirects. If that’s not possible, user agents need to strip the URL down to an origin to avoid unintentional leakage." Under certain types of redirects, Firefox incorrectly set the source file to be the destination of the redirects. This was fixed to be the redirect destination's origin. This vulnerability affects Firefox < 86, Thunderbird < 78.8, and Firefox ESR < 78.8.

suse-cvrf логотип

openSUSE-SU-2021:0387-1

suse-cvrf
почти 5 лет назад

Security update for MozillaThunderbird

EPSS

Процентиль: 77%
0.0102
Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

NVD-CWE-noinfo