Уязвимость утечки директории на устройстве пользователя в Firefox и Focus из-за некорректного URI "jar:file:///" вместо "moz-extension:///"
Описание
При определённых условиях WebExtension получает URI вида jar:file:/// вместо moz-extension:/// во время запроса загрузки. Это приводит к раскрытию путей директорий на устройстве пользователя.
Затронутые версии ПО
- Firefox для Android до версии 112
- Firefox до версии 112
- Focus для Android до версии 112
Тип уязвимости
Утечка информации
Ссылки
- Issue Tracking
- Vendor Advisory
- Issue Tracking
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS3
Дефекты
Связанные уязвимости
Under specific circumstances a WebExtension may have received a <code>jar:file:///</code> URI instead of a <code>moz-extension:///</code> URI during a load request. This leaked directory paths on the user's machine. This vulnerability affects Firefox for Android < 112, Firefox < 112, and Focus for Android < 112.
Under specific circumstances a WebExtension may have received a <code> ...
Under specific circumstances a WebExtension may have received a <code>jar:file:///</code> URI instead of a <code>moz-extension:///</code> URI during a load request. This leaked directory paths on the user's machine. This vulnerability affects Firefox for Android < 112, Firefox < 112, and Focus for Android < 112.
Уязвимость компонента WebExtension веб-браузера Firefox, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить доступ к конфиденциальным данным
EPSS
4.3 Medium
CVSS3