Уязвимость получения доступа к разрешениям верхнего уровня в глубоко вложенных кросс-доменных контекстах просмотра в Thunderbird и Firefox
Описание
Документы в глубоко вложенных кросс-доменных контекстах просмотра способны получить разрешения, предоставленные для верхнего уровня, обходя существующий запрос и некорректно наследуя разрешения верхнего уровня.
Затронутые версии ПО
- Thunderbird версий до 91.9
- Firefox ESR версий до 91.9
- Firefox версий до 100
Тип уязвимости
Нарушение безопасности контекста разрешений
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Mailing List
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Mailing List
- Issue TrackingPermissions RequiredVendor Advisory
Уязвимые конфигурации
Одно из
EPSS
8.8 High
CVSS3
Дефекты
Связанные уязвимости
Documents in deeply-nested cross-origin browsing contexts could have obtained permissions granted to the top-level origin, bypassing the existing prompt and wrongfully inheriting the top-level permissions. This vulnerability affects Thunderbird < 91.9, Firefox ESR < 91.9, and Firefox < 100.
Documents in deeply-nested cross-origin browsing contexts could have obtained permissions granted to the top-level origin, bypassing the existing prompt and wrongfully inheriting the top-level permissions. This vulnerability affects Thunderbird < 91.9, Firefox ESR < 91.9, and Firefox < 100.
Documents in deeply-nested cross-origin browsing contexts could have o ...
Documents in deeply-nested cross-origin browsing contexts could have obtained permissions granted to the top-level origin, bypassing the existing prompt and wrongfully inheriting the top-level permissions. This vulnerability affects Thunderbird < 91.9, Firefox ESR < 91.9, and Firefox < 100.
Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти существующие ограничения безопасности
EPSS
8.8 High
CVSS3