• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Межсайтовое выполнение сценариев

Главная Специалистам База уязвимостей Межсайтовое выполнение сценариев

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Firefox (34.0, 40.0) SeaMonkey (2.0.0, 2.38)
Описание
Уязвимость существует в функции nsCSPHostSrc::permits в dom/security/nsCSPUtils.cpp в Mozilla Firefox и SeaMonkey из-за отсутствия исключений Content Security Policy Level 2 (политики защиты содержимого) для URL-адресов с blob:, data: и filesystem: при сопоставлении выражений с групповыми символами. Эксплуатация данной уязвимости позволяет злоумышленникам, действующим удаленно, провести межсайтовое выполнение сценариев, используя нестандартное поведение при реализации политики.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.org/firefox/
http://www.seamonkey-project.org/
Ссылки