CVE-2018-18494

Опубликовано: 11 дек. 2018

Источник: redhat

CVSS3: 6.5

Описание

A same-origin policy violation allowing the theft of cross-origin URL entries when using the Javascript location property to cause a redirection to another site using performance.getEntries(). This is a same-origin policy violation and could allow for data theft. This vulnerability affects Thunderbird < 60.4, Firefox ESR < 60.4, and Firefox < 64.

Отчет

In general, this flaw be exploited through email in the Thunderbird product because scripting is disabled when reading mail, but are potentially risks in browser or browser-like contexts.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 8	firefox	Not affected
Red Hat Enterprise Linux 8	thunderbird	Not affected
Red Hat Enterprise Linux 6	firefox	Fixed	RHSA-2018:3831	17.12.2018
Red Hat Enterprise Linux 6	thunderbird	Fixed	RHSA-2019:0159	24.01.2019
Red Hat Enterprise Linux 7	firefox	Fixed	RHSA-2018:3833	17.12.2018
Red Hat Enterprise Linux 7	thunderbird	Fixed	RHSA-2019:0160	24.01.2019

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important

Дефект:

CWE-829

https://bugzilla.redhat.com/show_bug.cgi?id=1658401Mozilla: Same-origin policy violation using location attribute and performance.getEntries to steal cross-origin URLs

6.5 Medium

CVSS3

Связанные уязвимости

CVE-2018-18494

CVSS3: 6.5

ubuntu

больше 6 лет назад

CVE-2018-18494

CVSS3: 6.5

nvd

больше 6 лет назад

CVE-2018-18494

CVSS3: 6.5

debian

больше 6 лет назад

A same-origin policy violation allowing the theft of cross-origin URL ...

GHSA-57wq-mwp5-4x2j

CVSS3: 6.5

github

больше 3 лет назад

BDU:2019-01426

CVSS3: 6.5

fstec

почти 7 лет назад

Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с недостатками механизмов ограничения домена (Same Origin Policy), позволяющая нарушителю перенаправить пользователя на вредоносный сайт

6.5 Medium

CVSS3