Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Описание
Уязвимость в Mozilla Firefox и Firefox ESR связана с отсутствием преобразования символов < и > обработчиком каскадных таблиц стилей при вставке тега <style> из буфера обмена в редактор RTF. Строка вставляется непосредственно в текстовый узел элемента, что не приводит к непосредственному внедрению на веб-странице, но если затем веб-страница копирует innerHTML узла и назначает его другому innerHTML, то это может привести к межсайтовому выполнению сценариев. Как минимум два редактора WYSIWYG ведут себя подобным образом.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://www.mozilla.org/firefox/
https://www.mozilla.org/firefox/organizations/all.html
https://www.mozilla.org/thunderbird/
https://www.mozilla.org/firefox/
https://www.mozilla.org/firefox/organizations/all.html
https://www.mozilla.org/thunderbird/
Ссылки
Источник: CVE
Наименование: CVE-2019-17022
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17022
https://www.mozilla.org/en-US/security/advisories/mfsa2020-01/#CVE-2019-17022
https://www.mozilla.org/en-US/security/advisories/mfsa2020-02/#CVE-2019-17022
https://www.mozilla.org/en-US/security/advisories/mfsa2020-04/#CVE-2019-17022
Наименование: CVE-2019-17022
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17022
https://www.mozilla.org/en-US/security/advisories/mfsa2020-01/#CVE-2019-17022
https://www.mozilla.org/en-US/security/advisories/mfsa2020-02/#CVE-2019-17022
https://www.mozilla.org/en-US/security/advisories/mfsa2020-04/#CVE-2019-17022