Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-38503

Опубликовано: 08 дек. 2021
Источник: nvd
CVSS3: 10
CVSS2: 7.5
EPSS Низкий

Уязвимость обхода ограничений iframe sandbox через некорректное применение правил к XSLT стилям в Firefox и Thunderbird

Описание

Правила iframe sandbox применяются некорректно к XSLT стилям, что позволяет iframe обходить ограничения, такие как выполнение скриптов или навигация в верхнеуровневом фрейме.

Затронутые версии ПО

  • Firefox версии ниже 94
  • Thunderbird версии ниже 91.3
  • Firefox ESR версии ниже 91.3

Тип уязвимости

Обход ограничений

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 94.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 91.3 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 91.3 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*

EPSS

Процентиль: 76%
0.01026
Низкий

10 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-863

Связанные уязвимости

ubuntu логотип

CVE-2021-38503

CVSS3: 10
ubuntu
больше 3 лет назад

The iframe sandbox rules were not correctly applied to XSLT stylesheets, allowing an iframe to bypass restrictions such as executing scripts or navigating the top-level frame. This vulnerability affects Firefox < 94, Thunderbird < 91.3, and Firefox ESR < 91.3.

redhat логотип

CVE-2021-38503

CVSS3: 10
redhat
почти 4 года назад

The iframe sandbox rules were not correctly applied to XSLT stylesheets, allowing an iframe to bypass restrictions such as executing scripts or navigating the top-level frame. This vulnerability affects Firefox < 94, Thunderbird < 91.3, and Firefox ESR < 91.3.

debian логотип

CVE-2021-38503

CVSS3: 10
debian
больше 3 лет назад

The iframe sandbox rules were not correctly applied to XSLT stylesheet ...

github логотип

GHSA-6g99-7xcp-vcw9

CVSS3: 10
github
больше 3 лет назад

The iframe sandbox rules were not correctly applied to XSLT stylesheets, allowing an iframe to bypass restrictions such as executing scripts or navigating the top-level frame. This vulnerability affects Firefox < 94, Thunderbird < 91.3, and Firefox ESR < 91.3.

fstec логотип

BDU:2021-05706

CVSS3: 8.1
fstec
почти 4 года назад

Уязвимость браузера Mozilla Firefox, связанная с ошибками в настройках безопасности, позволяющая нарушителю обойти существующие ограничения безопасности

EPSS

Процентиль: 76%
0.01026
Низкий

10 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-863