Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-42927

Опубликовано: 22 дек. 2022
Источник: nvd
CVSS3: 8.1
EPSS Низкий

Уязвимость обхода политики одного происхождения в Firefox и Thunderbird через "performance.getEntries()", приводящая к утечке кросс-доменных URL-адресов

Описание

Нарушение политики одного происхождения допускает кражу кросс-доменных URL-адресов, что приводит к утечке результата перенаправления через performance.getEntries().

Затронутые версии ПО

  • Firefox версий ниже 106
  • Firefox ESR версий ниже 102.4
  • Thunderbird версий ниже 102.4

Тип уязвимости

Утечка данных

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 106.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 102.4 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 102.4 (исключая)

EPSS

Процентиль: 38%
0.00163
Низкий

8.1 High

CVSS3

Дефекты

CWE-346
CWE-346

Связанные уязвимости

ubuntu логотип

CVE-2022-42927

CVSS3: 8.1
ubuntu
больше 2 лет назад

A same-origin policy violation could have allowed the theft of cross-origin URL entries, leaking the result of a redirect, via `performance.getEntries()`. This vulnerability affects Firefox < 106, Firefox ESR < 102.4, and Thunderbird < 102.4.

redhat логотип

CVE-2022-42927

CVSS3: 7.5
redhat
больше 2 лет назад

A same-origin policy violation could have allowed the theft of cross-origin URL entries, leaking the result of a redirect, via `performance.getEntries()`. This vulnerability affects Firefox < 106, Firefox ESR < 102.4, and Thunderbird < 102.4.

debian логотип

CVE-2022-42927

CVSS3: 8.1
debian
больше 2 лет назад

A same-origin policy violation could have allowed the theft of cross-o ...

github логотип

GHSA-9jhw-8cjq-cxc8

CVSS3: 8.1
github
больше 2 лет назад

A same-origin policy violation could have allowed the theft of cross-origin URL entries, leaking the result of a redirect, via <code>performance.getEntries()</code>. This vulnerability affects Thunderbird < 102.4, Firefox ESR < 102.4, and Firefox < 106.

fstec логотип

BDU:2022-06518

CVSS3: 7.5
fstec
больше 2 лет назад

Уязвимость метода performance.getEntries() браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 38%
0.00163
Низкий

8.1 High

CVSS3

Дефекты

CWE-346
CWE-346