| タイトル | Mozilla Firefox におけるクロスサイトスクリプティング (XSS) 攻撃を実行される脆弱性 |
|---|---|
| 概要 | Mozilla Firefox は、HTTP レスポンス内の Location ヘッダの data: URI を適切にブロックしなため、クロスサイトスクリプティング (XSS) 攻撃を実行される脆弱性が存在します。 |
| 想定される影響 | 第三者により、以下を介して、クロスサイトスクリプティング (XSS) 攻撃を実行される可能性があります。 (1) data:text/html URI の JavaScript シーケンスを含む Location ヘッダの挿入 (2) Location ヘッダの内容を指定する際に JavaScript シーケンスを伴う data:text/html URI の入力 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2009年8月31日0:00 |
| 登録日 | 2012年9月25日17:27 |
| 最終更新日 | 2012年9月25日17:27 |
| CVSS2.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| Mozilla Foundation |
| Mozilla Firefox 3.0.13 およびそれ以前、3.5、3.6 a1 pre、および 3.7 a1 pre |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年09月25日] 掲載 |
2018年2月17日10:37 |
| 概要 | Mozilla Firefox 3.0.13 and earlier, 3.5, 3.6 a1 pre, and 3.7 a1 pre does not properly block data: URIs in Location headers in HTTP responses, which allows remote attackers to conduct cross-site scripting (XSS) attacks via vectors related to (1) injecting a Location header that contains JavaScript sequences in a data:text/html URI or (2) entering a data:text/html URI with JavaScript sequences when specifying the content of a Location header. NOTE: the JavaScript executes outside of the context of the HTTP site. |
|---|---|
| 概要 | Mozilla Firefox v3.0.13 y anteriores, v3.5, v3.6 a1 pre y v3.7 a1 pre no bloquea adecuadamente los datos: URIs en las cabeceras Location en las respuestas HTTP, esto permite a atacantes remotos provocar ataques de secuencias de comandos en sitios cruzados (XSS) mediante vectores que están relacionados con (1) la inyección de una cabecera Location que contenga secuencias JavaScript en una URI data:text/html o (2) la introducción de una URI data:text/html con secuencias JAvaScript que especifiquen el contenido de una cabecera Location. NOTA: El JavaScript se ejecuta fuera del contexto del sitio HTTP. |
| 公表日 | 2009年9月1日1:30 |
| 登録日 | 2021年1月29日13:22 |
| 最終更新日 | 2026年4月23日9:35 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 3.0.13 | ||||
| cpe:2.3:a:mozilla:firefox:3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0:alpha:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0:beta2:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0:beta5:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0.8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0.11:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.0.12:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.6:a1_pre:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:3.7:a1_pre:*:*:*:*:*:* | |||||