Уязвимость несанкционированного доступа к данным запросов через "StreamFilter" в Firefox и Thunderbird
Описание
Веб-расширение с минимальными разрешениями могло создать объект StreamFilter, который можно было использовать для чтения и модификации тела ответа запросов на любом сайте.
Затронутые версии ПО
- Firefox < 129
- Firefox ESR < 115.14
- Firefox ESR < 128.1
- Thunderbird < 128.1
- Thunderbird < 115.14
Тип уязвимости
- Неавторизованный доступ к данным
- Модификация данных
Ссылки
- Issue TrackingPermissions Required
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
8.1 High
CVSS3
9.1 Critical
CVSS3
Дефекты
Связанные уязвимости
It was possible for a web extension with minimal permissions to create a `StreamFilter` which could be used to read and modify the response body of requests on any site. This vulnerability affects Firefox < 129, Firefox ESR < 115.14, Firefox ESR < 128.1, Thunderbird < 128.1, and Thunderbird < 115.14.
It was possible for a web extension with minimal permissions to create a `StreamFilter` which could be used to read and modify the response body of requests on any site. This vulnerability affects Firefox < 129, Firefox ESR < 115.14, Firefox ESR < 128.1, Thunderbird < 128.1, and Thunderbird < 115.14.
It was possible for a web extension with minimal permissions to create ...
It was possible for a web extension with minimal permissions to create a `StreamFilter` which could be used to read and modify the response body of requests on any site. This vulnerability affects Firefox < 129, Firefox ESR < 115.14, and Firefox ESR < 128.1.
Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти ограничения безопасности и оказать влияние на конфиденциальность и целостность защищаемой информации
EPSS
8.1 High
CVSS3
9.1 Critical
CVSS3