Уязвимость в Mozilla Firefox и Thunderbird, позволяющая наследование прав доступа родительского домена через кросс-доменный iframe, ссылающийся на XSLT-документ
Описание
Кросс-доменный iframe, ссылающийся на XSLT-документ, наследует права доступа родительского домена, такие как доступ к микрофону или камере.
Затронутые версии ПО
- Thunderbird версий ниже 102.2
- Thunderbird версий ниже 91.13
- Firefox ESR версий ниже 91.13
- Firefox ESR версий ниже 102.2
- Firefox версий ниже 104
Тип уязвимости
Кросс-доменное наследование прав доступа
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
8.8 High
CVSS3
Дефекты
Связанные уязвимости
A cross-origin iframe referencing an XSLT document would inherit the parent domain's permissions (such as microphone or camera access). This vulnerability affects Thunderbird < 102.2, Thunderbird < 91.13, Firefox ESR < 91.13, Firefox ESR < 102.2, and Firefox < 104.
A cross-origin iframe referencing an XSLT document would inherit the parent domain's permissions (such as microphone or camera access). This vulnerability affects Thunderbird < 102.2, Thunderbird < 91.13, Firefox ESR < 91.13, Firefox ESR < 102.2, and Firefox < 104.
A cross-origin iframe referencing an XSLT document would inherit the p ...
A cross-origin iframe referencing an XSLT document would inherit the parent domain's permissions (such as microphone or camera access). This vulnerability affects Thunderbird < 102.2, Thunderbird < 91.13, Firefox ESR < 91.13, Firefox ESR < 102.2, and Firefox < 104.
Уязвимость реализации технологии XSLT (eXtensible Stylesheet Language Transformations) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю повысить свои привилегии
EPSS
8.8 High
CVSS3