Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-23984

Опубликовано: 31 мар. 2021
Источник: nvd
CVSS3: 6.5
CVSS2: 4.3
EPSS Низкий

Уязвимость в адресной строке всплывающего окна, позволяющая подделывать сайты

Описание

Вредоносное расширение могло открыть всплывающее окно без адресной строки. Заголовок такого окна не должен быть полностью управляемым, однако в данной ситуации он мог быть изменен злоумышленником. Это позволяло создавать поддельные сайты для обмана пользователей с целью кражи учетных данных.

Затронутые версии ПО

  • Firefox ESR версии до 78.9
  • Firefox версии до 87
  • Thunderbird версии до 78.9

Тип уязвимости

Спуфинг (подмена)

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 87.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 78.9 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 78.9 (исключая)

EPSS

Процентиль: 50%
0.00267
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-290

Связанные уязвимости

ubuntu логотип

CVE-2021-23984

CVSS3: 6.5
ubuntu
почти 5 лет назад

A malicious extension could have opened a popup window lacking an address bar. The title of the popup lacking an address bar should not be fully controllable, but in this situation was. This could have been used to spoof a website and attempt to trick the user into providing credentials. This vulnerability affects Firefox ESR < 78.9, Firefox < 87, and Thunderbird < 78.9.

redhat логотип

CVE-2021-23984

CVSS3: 6.1
redhat
почти 5 лет назад

A malicious extension could have opened a popup window lacking an address bar. The title of the popup lacking an address bar should not be fully controllable, but in this situation was. This could have been used to spoof a website and attempt to trick the user into providing credentials. This vulnerability affects Firefox ESR < 78.9, Firefox < 87, and Thunderbird < 78.9.

debian логотип

CVE-2021-23984

CVSS3: 6.5
debian
почти 5 лет назад

A malicious extension could have opened a popup window lacking an addr ...

github логотип

GHSA-5cpw-36f2-hgw7

github
больше 3 лет назад

A malicious extension could have opened a popup window lacking an address bar. The title of the popup lacking an address bar should not be fully controllable, but in this situation was. This could have been used to spoof a website and attempt to trick the user into providing credentials. This vulnerability affects Firefox ESR < 78.9, Thunderbird < 78.9, and Firefox < 87.

fstec логотип

BDU:2022-05941

CVSS3: 6.5
fstec
почти 5 лет назад

Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR и почтового клиента Thunderbird, связанная с неверным ограничением визуализируемых слоев или фреймов пользовательского интерфейса, позволяющая нарушителю проводить спуфинг-атаки

EPSS

Процентиль: 50%
0.00267
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-290