Уязвимость локального подключения к браузеру через некорректную проверку заголовков Host или Origin в WebDriver для Mozilla Firefox
Описание
В компоненте Remote Agent, используемом в WebDriver, отсутствует проверка заголовков Host или Origin. Это позволяет веб-сайтам устанавливать локальное соединение с браузером пользователя и управлять им.
Затронутые версии ПО
- Firefox версий ниже 97
Эта уязвимость затрагивает только Firefox, когда WebDriver включен, что не является настройкой по умолчанию.
Тип уязвимости
Захват управления
Ссылки
- Issue TrackingVendor Advisory
- Vendor Advisory
- Issue TrackingVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
Remote Agent, used in WebDriver, did not validate the Host or Origin headers. This could have allowed websites to connect back locally to the user's browser to control it. <br>*This bug only affected Firefox when WebDriver was enabled, which is not the default configuration.*. This vulnerability affects Firefox < 97.
Remote Agent, used in WebDriver, did not validate the Host or Origin h ...
Remote Agent, used in WebDriver, did not validate the Host or Origin headers. This could have allowed websites to connect back locally to the user's browser to control it. <br>*This bug only affected Firefox when WebDriver was enabled, which is not the default configuration.*. This vulnerability affects Firefox < 97.
Уязвимость драйвера WebDriver браузера Mozilla Firefox, позволяющая нарушителю раскрыть защищаемую информацию и выполнить произвольный код
EPSS
6.5 Medium
CVSS3