Уязвимость выполнения скриптов через некорректное использование элемента в SVG в Mozilla Firefox
Описание
Элемент <use> в формате SVG способен загружать непредвиденный контент, который может выполнять скрипт в определенных условиях. Хотя спецификация допускает такое поведение, другие браузеры его не поддерживают, и веб-разработчики полагаются на это свойство для обеспечения безопасности скриптов. Поэтому реализация Gecko была приведена в соответствие с другими браузерами.
Затронутые версии ПО
- Firefox ранее 99
Тип уязвимости
Выполнение скриптов
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
Уязвимые конфигурации
EPSS
8.8 High
CVSS3
Дефекты
Связанные уязвимости
SVG's <code><use></code> element could have been used to load unexpected content that could have executed script in certain circumstances. While the specification seems to allow this, other browsers do not, and web developers relied on this property for script security so gecko's implementation was aligned with theirs. This vulnerability affects Firefox < 99.
SVG's <code><use></code> element could have been used to load un ...
SVG's <code><use></code> element could have been used to load unexpected content that could have executed script in certain circumstances. While the specification seems to allow this, other browsers do not, and web developers relied on this property for script security so gecko's implementation was aligned with theirs. This vulnerability affects Firefox < 99.
Уязвимость реализации элемента SVG <use> браузера Mozilla Firefox, позволяющая нарушителю выполнить произвольный код JavaScript
EPSS
8.8 High
CVSS3