Уязвимость игнорирования директивы "frame-ancestors" в политике безопасности контента веб-расширений в Firefox, Thunderbird и Firefox ESR
Описание
В веб-доступных страницах расширений (с использованием схемы moz-extension://) обнаружена уязвимость, связанная с некорректным применением директивы frame-ancestors из политики безопасности контента (Content Security Policy, CSP).
Затронутые версии ПО
- Firefox до версии 97
- Thunderbird до версии 91.6
- Firefox ESR до версии 91.6
Тип уязвимости
Нарушение правил безопасности контента
Ссылки
- Issue TrackingVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingVendor Advisory
Уязвимые конфигурации
Одно из
EPSS
8.8 High
CVSS3
Дефекты
Связанные уязвимости
Web-accessible extension pages (pages with a moz-extension:// scheme) were not correctly enforcing the frame-ancestors directive when it was used in the Web Extension's Content Security Policy. This vulnerability affects Firefox < 97, Thunderbird < 91.6, and Firefox ESR < 91.6.
Web-accessible extension pages (pages with a moz-extension:// scheme) were not correctly enforcing the frame-ancestors directive when it was used in the Web Extension's Content Security Policy. This vulnerability affects Firefox < 97, Thunderbird < 91.6, and Firefox ESR < 91.6.
Web-accessible extension pages (pages with a moz-extension:// scheme) ...
Web-accessible extension pages (pages with a moz-extension:// scheme) were not correctly enforcing the frame-ancestors directive when it was used in the Web Extension's Content Security Policy. This vulnerability affects Firefox < 97, Thunderbird < 91.6, and Firefox ESR < 91.6.
Уязвимость компонента Content Security Policy (CSP) браузера Mozilla Firefox, позволяющая нарушителю обойти существующие ограничения безопасности
EPSS
8.8 High
CVSS3