漏洞标题
N/A
漏洞描述信息
JSON 查看器显示可点击的链接,以解析为URL的字符串,包括 "javascript:" 链接。如果JSON文件包含嵌入恶意的JavaScript脚本的 "javascript:" 链接,用户可能会被欺骗在JSON查看器上下文中点击和运行此代码。这可能导致对可对该上下文访问的cookie和授权令牌的窃取。此漏洞影响Firefox<60。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The JSON Viewer displays clickable hyperlinks for strings that are parseable as URLs, including "javascript:" links. If a JSON file contains malicious JavaScript script embedded as "javascript:" links, users may be tricked into clicking and running this code in the context of the JSON Viewer. This can allow for the theft of cookies and authorization tokens which are accessible to that context. This vulnerability affects Firefox < 60.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Mozilla Firefox JSON Viewer 跨站脚本漏洞
漏洞描述信息
Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。JSON Viewer是其中的一个JSON文件查看器。 Mozilla Firefox 60之前版本中的JSON Viewer存在跨站脚本漏洞,该漏洞源于程序没有正确的过滤用户提交的输入。远程攻击者可借助恶意的JSON文件利用该漏洞执行JavaScript脚本,窃取cookies及授权令牌。
CVSS信息
N/A
漏洞类别
输入验证错误