Уязвимость загрузки небезопасного контента во всплывающем окне, созданном через "javascript:" URL, на защищённой https: странице в Firefox
Описание
Когда веб-страница с протоколом https: создавала всплывающее окно (pop-up) через URL с префиксом "javascript:", это окно ошибочно получало возможность загружать блокируемый контент, такой как iframe, с незащищённых http: URL.
Затронутые версии ПО
- Firefox < 120
Тип уязвимости
Нарушение политики безопасности контента
Ссылки
- Issue TrackingPermissions Required
- Release NotesVendor Advisory
- Issue TrackingPermissions Required
- Release NotesVendor Advisory
Уязвимые конфигурации
EPSS
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
When an https: web page created a pop-up from a "javascript:" URL, that pop-up was incorrectly allowed to load blockable content such as iframes from insecure http: URLs This vulnerability affects Firefox < 120.
When an https: web page created a pop-up from a "javascript:" URL, tha ...
When an https: web page created a pop-up from a "javascript:" URL, that pop-up was incorrectly allowed to load blockable content such as iframes from insecure http: URLs This vulnerability affects Firefox < 120.
Уязвимость браузера Mozilla Firefox, связанная с переадресацией URL на ненадежный сайт, позволяющая нарушителю проводить фишинг-атаки
EPSS
6.5 Medium
CVSS3