漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Mozilla 1.7.12 及更早版本、Mozilla Firefox 1.0.7 及更早版本和 Netscape 8.1 及更早版本中存在的跨站脚本(XSS)漏洞允许远程攻击者通过 -moz-binding(级联样式表 CSS 属性)注入任意的 Web 脚本或 HTML,而无需样式表与网页具有相同的来源。此漏洞导致大量 LiveJournal 账户被黑。
## 影响版本
- Mozilla 1.7.12 及更早版本
- Mozilla Firefox 1.0.7 及更早版本
- Netscape 8.1 及更早版本
## 漏洞细节
攻击者可以通过 `Cascading Style Sheets`(CSS)中的 `-moz-binding` 属性注入任意的 Web 脚本或 HTML。通常,CSS 需要和网页具有相同的来源,但此漏洞绕过了这一要求,这意味着攻击者可以利用该漏洞在目标用户的浏览器上执行任意代码。
## 影响
此漏洞允许远程攻击者向受害者的浏览器注入恶意脚本,从而可能导致敏感信息泄露、账户被黑或其他恶意活动。例如,该漏洞已导致大量 LiveJournal 账户被黑。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Cross-site scripting (XSS) vulnerability in Mozilla 1.7.12 and possibly earlier, Mozilla Firefox 1.0.7 and possibly earlier, and Netscape 8.1 and possibly earlier, allows remote attackers to inject arbitrary web script or HTML via the -moz-binding (Cascading Style Sheets) CSS property, which does not require that the style sheet have the same origin as the web page, as demonstrated by the compromise of a large number of LiveJournal accounts.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Mozilla Firefox XBL -MOZ-BINDING属性跨站脚本攻击漏洞
漏洞描述信息
Mozilla 1.7.12及更早版本,Mozilla Firefox 1.0.7及更早版本,以及Netscape 8.1及更早版本中存在跨站脚本攻击漏洞。远程攻击者可通过不要求样式表与Web页面具有相同的起源的-moz-binding CSS(级联样式表)属性注入任意Web脚本或HTML。
CVSS信息
N/A
漏洞类别
跨站脚本