Уязвимость некорректной обработки относительных URL, начинающихся с тройного слэша, и возможность подмены хоста через path-traversal в Firefox, Firefox ESR и Thunderbird
Описание
Относительные URL, начинающиеся с тройного слэша, обрабатывались некорректно, а часть пути с использованием /../ могла быть использована для подмены указанного хоста. Это могло способствовать возникновению проблем безопасности на веб-сайтах
Затронутые версии ПО
- Firefox < 120
- Firefox ESR < 115.5.0
- Thunderbird < 115.5
Тип уязвимости
- Некорректная обработка URL
- Подмена хоста (Host Override)
Ссылки
- Issue TrackingPermissions Required
- Mailing List
- Third Party Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Issue TrackingPermissions Required
- Mailing List
- Third Party Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
Уязвимые конфигурации
Одно из
Одно из
EPSS
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
Relative URLs starting with three slashes were incorrectly parsed, and a path-traversal "/../" part in the path could be used to override the specified host. This could contribute to security problems in web sites. This vulnerability affects Firefox < 120, Firefox ESR < 115.5.0, and Thunderbird < 115.5.
Relative URLs starting with three slashes were incorrectly parsed, and a path-traversal "/../" part in the path could be used to override the specified host. This could contribute to security problems in web sites. This vulnerability affects Firefox < 120, Firefox ESR < 115.5.0, and Thunderbird < 115.5.
Relative URLs starting with three slashes were incorrectly parsed, and ...
Relative URLs starting with three slashes were incorrectly parsed, and a path-traversal "/../" part in the path could be used to override the specified host. This could contribute to security problems in web sites. This vulnerability affects Firefox < 120, Firefox < 115.5, and Thunderbird < 115.5.0.
Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с неверным ограничением имени пути с символами "/.. /", позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
6.5 Medium
CVSS3