Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-43531

Опубликовано: 08 дек. 2021
Источник: nvd
CVSS3: 4.3
CVSS2: 4.3
EPSS Низкий

Уязвимость нарушения политики одного происхождения в Firefox при загрузке контекстного меню Web Extensions

Описание

Когда пользователь загружает контекстное меню Web Extensions, расширение Web Extension способно получить доступ к URL-адресу после перенаправления элемента, на который был выполнен клик. Если Web Extension не имеет разрешения WebRequest для хостов, вовлеченных в перенаправление, это является нарушением политики одного происхождения (Same-Origin Policy), утечкой данных, к которым Web Extension не должен иметь доступ. Это исправлено предоставлением URL-адреса до перенаправления. Уязвимость связана с CVE-2021-43532, но в контексте Web Extensions.

Затронутые версии ПО

  • Firefox версии ниже 94

Тип уязвимости

  • Нарушение политики одного происхождения
  • Утечка данных

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 94.0 (исключая)

EPSS

Процентиль: 34%
0.00138
Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-346

Связанные уязвимости

ubuntu логотип

CVE-2021-43531

CVSS3: 4.3
ubuntu
около 4 лет назад

When a user loaded a Web Extensions context menu, the Web Extension could access the post-redirect URL of the element clicked. If the Web Extension lacked the WebRequest permission for the hosts involved in the redirect, this would be a same-origin-violation leaking data the Web Extension should have access to. This was fixed to provide the pre-redirect URL. This is related to CVE-2021-43532 but in the context of Web Extensions. This vulnerability affects Firefox < 94.

debian логотип

CVE-2021-43531

CVSS3: 4.3
debian
около 4 лет назад

When a user loaded a Web Extensions context menu, the Web Extension co ...

github логотип

GHSA-r6p5-8pxg-2vcp

github
около 4 лет назад

When a user loaded a Web Extensions context menu, the Web Extension could access the post-redirect URL of the element clicked. If the Web Extension lacked the WebRequest permission for the hosts involved in the redirect, this would be a same-origin-violation leaking data the Web Extension should have access to. This was fixed to provide the pre-redirect URL. This is related to CVE-2021-43532 but in the context of Web Extensions. This vulnerability affects Firefox < 94.

fstec логотип

BDU:2022-06030

CVSS3: 4.3
fstec
больше 4 лет назад

Уязвимость браузера Mozilla Firefox, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 34%
0.00138
Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-346