Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-29974

Опубликовано: 05 авг. 2021
Источник: nvd
CVSS3: 4.3
CVSS2: 2.6
EPSS Низкий

Уязвимость обхода ограничения HSTS при включенной сетевой сегментации в Firefox

Описание

Когда включено сетевое разделение, например, в результате настроек Enhanced Tracking Protection, страница ошибки TLS позволяет пользователю проигнорировать ошибку на домене, который указал политику HTTP Strict Transport Security (что подразумевает, что ошибка не должна быть обходной). Уязвимость не затрагивает сетевые соединения, и они корректно обновляются до HTTPS автоматически.

Затронутые версии ПО

  • Firefox версий до 90

Тип уязвимости

Обход настроек безопасности

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 90.0 (исключая)

EPSS

Процентиль: 59%
0.00391
Низкий

4.3 Medium

CVSS3

2.6 Low

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

ubuntu логотип

CVE-2021-29974

CVSS3: 4.3
ubuntu
около 4 лет назад

When network partitioning was enabled, e.g. as a result of Enhanced Tracking Protection settings, a TLS error page would allow the user to override an error on a domain which had specified HTTP Strict Transport Security (which implies that the error should not be override-able.) This issue did not affect the network connections, and they were correctly upgraded to HTTPS automatically. This vulnerability affects Firefox < 90.

debian логотип

CVE-2021-29974

CVSS3: 4.3
debian
около 4 лет назад

When network partitioning was enabled, e.g. as a result of Enhanced Tr ...

github логотип

GHSA-wvgv-pqxg-x8rr

CVSS3: 4.3
github
больше 3 лет назад

When network partitioning was enabled, e.g. as a result of Enhanced Tracking Protection settings, a TLS error page would allow the user to override an error on a domain which had specified HTTP Strict Transport Security (which implies that the error should not be override-able.) This issue did not affect the network connections, and they were correctly upgraded to HTTPS automatically. This vulnerability affects Firefox < 90.

fstec логотип

BDU:2021-03950

CVSS3: 6.1
fstec
около 4 лет назад

Уязвимость реализации механизма HSTS (HTTP Strict Transport Security) браузера Mozilla Firefox, позволяющая нарушителю обойти механизмы защиты

EPSS

Процентиль: 59%
0.00391
Низкий

4.3 Medium

CVSS3

2.6 Low

CVSS2

Дефекты

NVD-CWE-noinfo