Уязвимость внедрения CSS в Mozilla Firefox и Thunderbird через внутренние URI для обхода политики безопасности контента
Описание
Злоумышленник способен внедрить CSS в таблицы стилей, доступные через внутренние URI, такие как resource:, тем самым обходя политику безопасности контента страницы.
Затронутые версии ПО
- Firefox ESR до версии 91.11
- Thunderbird до версии 102
- Thunderbird до версии 91.11
- Firefox до версии 101
Тип уязвимости
Обход политики безопасности (Content Security Policy)
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
An attacker could have injected CSS into stylesheets accessible via internal URIs, such as resource:, and in doing so bypass a page's Content Security Policy. This vulnerability affects Firefox ESR < 91.11, Thunderbird < 102, Thunderbird < 91.11, and Firefox < 101.
An attacker could have injected CSS into stylesheets accessible via internal URIs, such as resource:, and in doing so bypass a page's Content Security Policy. This vulnerability affects Firefox ESR < 91.11, Thunderbird < 102, Thunderbird < 91.11, and Firefox < 101.
An attacker could have injected CSS into stylesheets accessible via in ...
An attacker could have injected CSS into stylesheets accessible via internal URIs, such as resource:, and in doing so bypass a page's Content Security Policy. This vulnerability affects Firefox ESR < 91.11, Thunderbird < 102, Thunderbird < 91.11, and Firefox < 101.
Уязвимость почтового клиента Thunderbird, браузера Firefox ESR, связанная с ошибкой при обработке таблиц стилей CSS, доступных через внутренние URI, как «ресурс:», позволяющая нарушителю обойти реализованную политику безопасности содержимого
EPSS
6.5 Medium
CVSS3