Уязвимость получения дополнительных привилегий системой при загрузке Blob URL в Firefox ESR, Thunderbird и Firefox
Описание
Если Blob URL загружается через необычные действия пользователя, система загружает его от имени System Principal, предоставляя дополнительные привилегии, которые не должны предоставляться веб-контенту.
Затронутые версии ПО
- Firefox ESR до версии 78.10
- Thunderbird до версии 78.10
- Firefox до версии 88
Тип уязвимости
Получение нежелательных привилегий
Ссылки
- ExploitIssue TrackingVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- ExploitIssue TrackingVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
Уязвимые конфигурации
Одно из
EPSS
8.8 High
CVSS3
6.8 Medium
CVSS2
Дефекты
Связанные уязвимости
If a Blob URL was loaded through some unusual user interaction, it could have been loaded by the System Principal and granted additional privileges that should not be granted to web content. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88.
If a Blob URL was loaded through some unusual user interaction, it could have been loaded by the System Principal and granted additional privileges that should not be granted to web content. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88.
If a Blob URL was loaded through some unusual user interaction, it cou ...
If a Blob URL was loaded through some unusual user interaction, it could have been loaded by the System Principal and granted additional privileges that should not be granted to web content. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88.
Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, связанная с ошибками наследуемых разрешений, позволяющая нарушителю повысить свои привилегии
EPSS
8.8 High
CVSS3
6.8 Medium
CVSS2