Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2024-0747

Опубликовано: 23 янв. 2024
Источник: nvd
CVSS3: 6.5
EPSS Низкий

Уязвимость переопределения Content Security Policy дочерней страницы родительской страницей при загрузке через iframe с "unsafe-inline" в Firefox, Firefox ESR и Thunderbird

Описание

При загрузке дочерней страницы в iframe с использованием директивы unsafe-inline Content Security Policy родительской страницы могла переопределить Content Security Policy дочерней страницы.

Затронутые версии ПО

  • Firefox < 122
  • Firefox ESR < 115.7
  • Thunderbird < 115.7

Тип уязвимости

Нарушение политики безопасности контента (Content Security Policy)

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 122.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 115.7 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 115.7 (исключая)
Конфигурация 2
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

EPSS

Процентиль: 61%
0.00412
Низкий

6.5 Medium

CVSS3

Дефекты

NVD-CWE-noinfo
CWE-693

Связанные уязвимости

ubuntu логотип

CVE-2024-0747

CVSS3: 6.5
ubuntu
больше 1 года назад

When a parent page loaded a child in an iframe with `unsafe-inline`, the parent Content Security Policy could have overridden the child Content Security Policy. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.

redhat логотип

CVE-2024-0747

CVSS3: 6.1
redhat
больше 1 года назад

When a parent page loaded a child in an iframe with `unsafe-inline`, the parent Content Security Policy could have overridden the child Content Security Policy. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.

debian логотип

CVE-2024-0747

CVSS3: 6.5
debian
больше 1 года назад

When a parent page loaded a child in an iframe with `unsafe-inline`, t ...

github логотип

GHSA-jx5w-px6r-88w4

CVSS3: 6.5
github
больше 1 года назад

When a parent page loaded a child in an iframe with `unsafe-inline`, the parent Content Security Policy could have overridden the child Content Security Policy. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.

fstec логотип

BDU:2024-00812

CVSS3: 4.2
fstec
больше 1 года назад

Уязвимость изолированной среды iframe браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти ограничения безопасности и изменить CSP (Content Security Policy)

EPSS

Процентиль: 61%
0.00412
Низкий

6.5 Medium

CVSS3

Дефекты

NVD-CWE-noinfo
CWE-693