Уязвимость внедрения исполняемого скрипта через некорректную реализацию директивы "unsafe-hashes" в Content Security Policy в Mozilla Firefox
Описание
В Mozilla Firefox отсутствует реализация директивы unsafe-hashes в политике Content Security Policy (CSP), что позволяет злоумышленнику внедрять исполняемый скрипт в страницу, защищённую данной политикой. Внедрение скрипта ограничивается спецификацией Content Security Policy документа.
Затронутые версии ПО
- Mozilla Firefox версий до 108
Тип уязвимости
Внедрение исполняемого скрипта
Ссылки
- Issue Tracking
- Vendor Advisory
- Issue Tracking
- Vendor Advisory
Уязвимые конфигурации
EPSS
8.8 High
CVSS3
Дефекты
Связанные уязвимости
Because Firefox did not implement the <code>unsafe-hashes</code> CSP directive, an attacker who was able to inject markup into a page otherwise protected by a Content Security Policy may have been able to inject executable script. This would be severely constrained by the specified Content Security Policy of the document. This vulnerability affects Firefox < 108.
Because Firefox did not implement the <code>unsafe-hashes</code> CSP d ...
Because Firefox did not implement the <code>unsafe-hashes</code> CSP directive, an attacker who was able to inject markup into a page otherwise protected by a Content Security Policy may have been able to inject executable script. This would be severely constrained by the specified Content Security Policy of the document. This vulnerability affects Firefox < 108.
Уязвимость веб-браузера Firefox, связанная с недостаточной нейтрализацией специальных элементов в запросе, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
EPSS
8.8 High
CVSS3