Уязвимость автоматического обновления расширений в Mozilla Firefox и Thunderbird, приводящая к обходу запроса на предоставление новых разрешений
Описание
Если пользователь устанавливает расширение определенного типа, оно способно автоматически обновиться и при этом обойти запрос, который должен подтвердить разрешения для новой версии.
Затронутые версии ПО
- Firefox версий до 97
- Thunderbird версий до 91.6
- Firefox ESR версий до 91.6
Тип уязвимости
Обход механизма предоставления разрешений
Ссылки
- Issue TrackingVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
If a user installed an extension of a particular type, the extension could have auto-updated itself and while doing so, bypass the prompt which grants the new version the new requested permissions. This vulnerability affects Firefox < 97, Thunderbird < 91.6, and Firefox ESR < 91.6.
If a user installed an extension of a particular type, the extension could have auto-updated itself and while doing so, bypass the prompt which grants the new version the new requested permissions. This vulnerability affects Firefox < 97, Thunderbird < 91.6, and Firefox ESR < 91.6.
If a user installed an extension of a particular type, the extension c ...
If a user installed an extension of a particular type, the extension could have auto-updated itself and while doing so, bypass the prompt which grants the new version the new requested permissions. This vulnerability affects Firefox < 97, Thunderbird < 91.6, and Firefox ESR < 91.6.
Уязвимость реализации расширений браузера Mozilla Firefox, позволяющая нарушителю обойти введенные ограничения безопасности
EPSS
6.5 Medium
CVSS3