Уязвимость утечки информации через некорректное сообщение об ошибке в Firefox при обработке мультимедийных ресурсов
Описание
Свойство message объекта MediaError в Firefox должно быть согласованным, чтобы избежать утечки информации о кросс-доменных ресурсах. Однако для ресурсов с кросс-доменным происхождением на том же сайте (same-site cross-origin), сообщение может способствовать утечке информации, что позволяет осуществлять атаки типа XS-Leaks.
Затронутые версии ПО
- Firefox версий до 102
Тип уязвимости
Утечка информации
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
Уязвимые конфигурации
EPSS
7.5 High
CVSS3
Дефекты
Связанные уязвимости
The MediaError message property should be consistent to avoid leaking information about cross-origin resources; however for a same-site cross-origin resource, the message could have leaked information enabling XS-Leaks attacks. This vulnerability affects Firefox < 102.
The MediaError message property should be consistent to avoid leaking ...
The MediaError message property should be consistent to avoid leaking information about cross-origin resources; however for a same-site cross-origin resource, the message could have leaked information enabling XS-Leaks attacks. This vulnerability affects Firefox < 102.
EPSS
7.5 High
CVSS3