Уязвимость отсутствия предупреждения о фишинговой атаке с использованием кэшированного перенаправления в Mozilla Firefox
Описание
Одна из тактик фишинга в интернете заключается в предоставлении ссылки с HTTP-авторизацией, например, 'https://www.phishingtarget.com@evil.com'.
Чтобы защититься от этого типа атаки, Firefox отображает предупреждающий диалог. Однако, предупреждающий диалог не отображается, если evil.com использует перенаправление, кэшированное браузером.
Затронутые версии ПО
- Mozilla Firefox версий до 86
Тип уязвимости
Фишинговая атака
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Third Party Advisory
- Release NotesVendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Third Party Advisory
- Release NotesVendor Advisory
Уязвимые конфигурации
EPSS
8.8 High
CVSS3
6.8 Medium
CVSS2
Дефекты
Связанные уязвимости
One phishing tactic on the web is to provide a link with HTTP Auth. For example 'https://www.phishingtarget.com@evil.com'. To mitigate this type of attack, Firefox will display a warning dialog; however, this warning dialog would not have been displayed if evil.com used a redirect that was cached by the browser. This vulnerability affects Firefox < 86.
One phishing tactic on the web is to provide a link with HTTP Auth. Fo ...
One phishing tactic on the web is to provide a link with HTTP Auth. For example 'https://www.phishingtarget.com@evil.com'. To mitigate this type of attack, Firefox will display a warning dialog; however, this warning dialog would not have been displayed if evil.com used a redirect that was cached by the browser. This vulnerability affects Firefox < 86.
EPSS
8.8 High
CVSS3
6.8 Medium
CVSS2