Vulnerabilidad en directiva de Content Security Policy (CSP) en URI javascript: en Firefox y Firefox ESR. (CVE-2019-11738)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/09/2019
Última modificación:
31/03/2022
Descripción
Si una directiva de Content Security Policy (CSP) se define que usa una fuente basada en hash que toma la cadena vacía como entrada, se permitirá la ejecución de cualquier URI javascript:. Esto podría permitir que contenido malicioso de JavaScript sea ejecutado, sin pasar por los permisos de CSP. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69 y Firefox ESR versiones anteriores a 68.1.
Impacto
Puntuación base 3.x
6.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 69.0 (excluyendo) | |
| cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:* | 68.1.0 (excluyendo) | |
| cpe:2.3:o:opensuse:leap:15.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html
- http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html
- https://bugzilla.mozilla.org/show_bug.cgi?id=1452037
- https://www.mozilla.org/security/advisories/mfsa2019-25/
- https://www.mozilla.org/security/advisories/mfsa2019-26/