漏洞标题
N/A
漏洞描述信息
内部 WebBrowserPersist 代码在保存资源时不使用正确的来源上下文。这体现在当子资源作为“保存页面为...”功能的一部分加载时。例如,一个恶意页面可以通过包含其他无法访问到恶意页面的资源来恢复访问者的 Windows 用户名和 NTLM 哈希,如果他们能够说服访问者保存整个页面。同样,当选择“保存页面为...”菜单项保存页面时,跨来源请求会发送 SameSite cookies,这可能导致根据这些 cookies 保存错误的资源版本。此漏洞影响 Firefox < 63。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The internal WebBrowserPersist code does not use correct origin context for a resource being saved. This manifests when sub-resources are loaded as part of "Save Page As..." functionality. For example, a malicious page could recover a visitor's Windows username and NTLM hash by including resources otherwise unreachable to the malicious page, if they can convince the visitor to save the complete web page. Similarly, SameSite cookies are sent on cross-origin requests when the "Save Page As..." menu item is selected to save a page, which can result in saving the wrong version of resources based on those cookies. This vulnerability affects Firefox < 63.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Mozilla Firefox 访问控制错误漏洞
漏洞描述信息
Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。 Mozilla Firefox 63之前版本中存在安全漏洞。远程攻击者可利用该漏洞泄露SameSite cookies。
CVSS信息
N/A
漏洞类别
授权问题