漏洞标题
N/A
漏洞描述信息
Mozilla Thunderbird 1.0.7 及更早版本中的WYSIWYG渲染引擎(“丰富邮件”编辑器)允许用户协助攻击者绕过JavaScript安全设置,获取敏感信息或导致崩溃,通过包含JavaScriptURI的iframe标签的SRC属性的电子邮件,该属性在用户编辑电子邮件时执行。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The WYSIWYG rendering engine ("rich mail" editor) in Mozilla Thunderbird 1.0.7 and earlier allows user-assisted attackers to bypass javascript security settings and obtain sensitive information or cause a crash via an e-mail containing a javascript URI in the SRC attribute of an IFRAME tag, which is executed when the user edits the e-mail.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Mozilla Thunderbird IFRAME JavaScript执行及拒绝服务漏洞
漏洞描述信息
Thunderbird是一款功能强大的邮件客户端,支持IMAP和POP邮件协议及HTML邮件格式。 Thunderbird对HTML格式邮件的处理上存在问题,远程攻击者可能利用此漏洞在客户端机器上执行恶意脚本代码。 Thunderbird的WYSIWYG渲染引擎没有充分地过滤JavaScript脚本,允许向IFRAME标签的SRC属性中写入JavaScript。这可能导致即使禁用了JavaScript的话,在用户编辑邮件或回复邮件时也可执行脚本或导致拒绝服务。
CVSS信息
N/A
漏洞类别
授权问题