Уязвимость обхода ограничений веб-безопасности в дочерних процессах Firefox, способная привести к произвольному чтению файлов
Описание
Скомпрометированный дочерний веб-процесс в Firefox способен отключить ограничения веб-безопасности, что ведёт к созданию нового дочернего процесса в контексте file://. При наличии надёжного механизма эксплуатации этот новый процесс мог быть повторно скомпрометирован, что приводит к чтению произвольных файлов.
Затронутые версии ПО
- Firefox до релиза 109
Тип уязвимости
- Обход ограничений безопасности
- Чтение произвольных файлов
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
A compromised web child process could disable web security opening restrictions, leading to a new child process being spawned within the <code>file://</code> context. Given a reliable exploit primitive, this new process could be exploited again leading to arbitrary file read. This vulnerability affects Firefox < 109.
A compromised web child process could disable web security opening res ...
A compromised web child process could disable web security opening restrictions, leading to a new child process being spawned within the <code>file://</code> context. Given a reliable exploit primitive, this new process could be exploited again leading to arbitrary file read. This vulnerability affects Firefox < 109.
Уязвимость браузера Mozilla Firefox, связанная с ошибками в настройках безопасности, позволяющая нарушителю читать произвольные файлы
EPSS
6.5 Medium
CVSS3