Mozilla Firefox 用の Firebug エクステンションにおけるクロスゾーンスクリプティングの脆弱性
| Title |
Mozilla Firefox 用の Firebug エクステンションにおけるクロスゾーンスクリプティングの脆弱性
|
| Summary |
Mozilla Firefox 用の Firebug エクステンションの console.log 関数で使用される DOM テンプレート (domplates) は、匿名 JavaScript 関数を間違って識別する不備があるため、クロスゾーンスクリプティングの脆弱性が存在します。 本脆弱性は、CVE-2007-1878 とは異なる脆弱性です。
|
| Possible impacts |
第三者により、特定の関数の宣言を介して、toString 関数を上書きされることで、ゾーン制限を回避される、任意の file:// URI を読まれる、またはブラウザ chrome 内の任意のコードを実行される可能性があります。 |
| Solution |
ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 10, 2007, midnight |
| Registration Date |
Sept. 25, 2012, 4:47 p.m. |
| Last Update |
Sept. 25, 2012, 4:47 p.m. |
|
CVSS2.0 : 注意
|
| Score |
3.5
|
| Vector |
AV:N/AC:M/Au:S/C:N/I:P/A:N |
Affected System
| parakey inc. |
|
firebug 1.04 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2012年09月25日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2007-1947
| Summary |
Cross-zone scripting vulnerability in the DOM templates (domplates) used by the console.log function in the Firebug extension before 1.04 for Mozilla Firefox allows remote attackers to bypass zone restrictions, read arbitrary file:// URIs, or execute arbitrary code in the browser chrome by overwriting the toString function via a certain function declaration, related to incorrect identification of anonymous JavaScript functions, a different issue than CVE-2007-1878.
|
| Publication Date |
April 11, 2007, 10:19 a.m. |
| Registration Date |
Jan. 29, 2021, 2:10 p.m. |
| Last Update |
Oct. 17, 2018, 1:41 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:parakey_inc.:firebug:*:*:*:*:*:*:*:* |
|
1.03 |
|
|
Related information, measures and tools
Common Vulnerabilities List