Уязвимость некорректного ограничения доступа к свойству "statusText" объектов XMLHttpRequest в Mozilla Firefox, Thunderbird и SeaMonkey, позволяющая обнаруживать внутренние веб-серверы через междоменные запросы
Описание
Программы не ограничивают должным образом доступ на чтение к свойству statusText объектов XMLHttpRequest. Это позволяет удалённым злоумышленникам обнаруживать существование внутренних веб-серверов через междоменные запросы.
Затронутые версии ПО
- Mozilla Firefox до версии 3.5.12 и 3.6.x до версии 3.6.9
- Thunderbird до версии 3.0.7 и 3.1.x до версии 3.1.3
- SeaMonkey до версии 2.0.7
Тип уязвимости
- Раскрытие информации
- Обнаружение внутренних ресурсов
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 6 | firefox | Affected | ||
| Red Hat Enterprise Linux Extended Update Support 4.8 | firefox | Affected | ||
| Red Hat Enterprise Linux Extended Update Support 5.5 | firefox | Affected | ||
| Red Hat Enterprise Linux 4 | firefox | Fixed | RHSA-2010:0681 | 08.09.2010 |
| Red Hat Enterprise Linux 4 | nspr | Fixed | RHSA-2010:0681 | 08.09.2010 |
| Red Hat Enterprise Linux 4 | nss | Fixed | RHSA-2010:0681 | 08.09.2010 |
| Red Hat Enterprise Linux 5 | firefox | Fixed | RHSA-2010:0681 | 08.09.2010 |
| Red Hat Enterprise Linux 5 | nspr | Fixed | RHSA-2010:0681 | 08.09.2010 |
| Red Hat Enterprise Linux 5 | nss | Fixed | RHSA-2010:0681 | 08.09.2010 |
| Red Hat Enterprise Linux 5 | xulrunner | Fixed | RHSA-2010:0681 | 08.09.2010 |
Показывать по
Дополнительная информация
Статус:
EPSS
2.6 Low
CVSS2
Связанные уязвимости
Mozilla Firefox before 3.5.12 and 3.6.x before 3.6.9, Thunderbird before 3.0.7 and 3.1.x before 3.1.3, and SeaMonkey before 2.0.7 do not properly restrict read access to the statusText property of XMLHttpRequest objects, which allows remote attackers to discover the existence of intranet web servers via cross-origin requests.
Mozilla Firefox before 3.5.12 and 3.6.x before 3.6.9, Thunderbird before 3.0.7 and 3.1.x before 3.1.3, and SeaMonkey before 2.0.7 do not properly restrict read access to the statusText property of XMLHttpRequest objects, which allows remote attackers to discover the existence of intranet web servers via cross-origin requests.
Mozilla Firefox before 3.5.12 and 3.6.x before 3.6.9, Thunderbird befo ...
Mozilla Firefox before 3.5.12 and 3.6.x before 3.6.9, Thunderbird before 3.0.7 and 3.1.x before 3.1.3, and SeaMonkey before 2.0.7 do not properly restrict read access to the statusText property of XMLHttpRequest objects, which allows remote attackers to discover the existence of intranet web servers via cross-origin requests.
EPSS
2.6 Low
CVSS2