Уязвимость выполнения скриптов в Mozilla Thunderbird и Firefox из-за некорректной реализации нового ключевого слова песочницы iframe
Описание
Некорректная реализация нового ключевого слова песочницы iframe allow-top-navigation-by-user-activation позволяет выполнение скриптов без наличия allow-scripts.
Затронутые версии ПО
- Mozilla Thunderbird версий ниже 91.9
- Firefox ESR версий ниже 91.9
- Firefox версий ниже 100
Тип уязвимости
Выполнение скриптов
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.1 Medium
CVSS3
Дефекты
Связанные уязвимости
An improper implementation of the new iframe sandbox keyword <code>allow-top-navigation-by-user-activation</code> could lead to script execution without <code>allow-scripts</code> being present. This vulnerability affects Thunderbird < 91.9, Firefox ESR < 91.9, and Firefox < 100.
An improper implementation of the new iframe sandbox keyword <code>allow-top-navigation-by-user-activation</code> could lead to script execution without <code>allow-scripts</code> being present. This vulnerability affects Thunderbird < 91.9, Firefox ESR < 91.9, and Firefox < 100.
An improper implementation of the new iframe sandbox keyword <code>all ...
An improper implementation of the new iframe sandbox keyword <code>allow-top-navigation-by-user-activation</code> could lead to script execution without <code>allow-scripts</code> being present. This vulnerability affects Thunderbird < 91.9, Firefox ESR < 91.9, and Firefox < 100.
Уязвимость изолированной среды iframe веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти существующие ограничения безопасности
EPSS
6.1 Medium
CVSS3