Уязвимость утечки разрешений устройств через некорректную инициализацию политики функций (FeaturePolicy) при навигации iframe в Mozilla Firefox и Thunderbird
Описание
Некоторые страницы при навигации iframe некорректно инициализируют FeaturePolicy, что позволяет обходить механизмы защиты и осуществлять утечку разрешений устройств в ненадёжные поддокументы.
Затронутые версии ПО
- Firefox ESR до версии 102.3
- Thunderbird до версии 102.3
- Firefox до версии 105
Тип уязвимости
Утечка данных
Ссылки
- Issue TrackingPermissions Required
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingPermissions Required
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
During iframe navigation, certain pages did not have their FeaturePolicy fully initialized leading to a bypass that leaked device permissions into untrusted subdocuments. This vulnerability affects Firefox ESR < 102.3, Thunderbird < 102.3, and Firefox < 105.
During iframe navigation, certain pages did not have their FeaturePolicy fully initialized leading to a bypass that leaked device permissions into untrusted subdocuments. This vulnerability affects Firefox ESR < 102.3, Thunderbird < 102.3, and Firefox < 105.
During iframe navigation, certain pages did not have their FeaturePoli ...
During iframe navigation, certain pages did not have their FeaturePolicy fully initialized leading to a bypass that leaked device permissions into untrusted subdocuments. This vulnerability affects Firefox ESR < 102.3, Thunderbird < 102.3, and Firefox < 105.
Уязвимость реализации механизма FeaturePolicy браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти ограничения безопасности
EPSS
6.5 Medium
CVSS3