PT-2020-6714 · Mozilla+6 · Firefox+8

Anne Van Kesteren

·

Publicado

2020-07-28

·

Atualizado

2024-12-12

·

CVE-2020-15653

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do Firefox ESR anteriores à 78.1
Versões do Firefox anteriores à 79
Versões do Thunderbird anteriores à 78.1
Descrição
Foi encontrada uma falha de segurança no elemento iframe sandbox com o sinalizador allow-popups, que poderia ser contornada ao usar links noopener. Isso poderia causar problemas de segurança para sites que dependem de configurações de sandbox que permitem pop-ups e hospedam conteúdo arbitrário. A vulnerabilidade está relacionada a configurações incorretas de permissão de acesso padrão.
Recomendações
Para versões do Firefox ESR anteriores à 78.1, atualize para a versão 78.1 ou posterior.
Para versões do Firefox anteriores à 79, atualize para a versão 79 ou posterior.
Para versões do Thunderbird anteriores à 78.1, atualize para a versão 78.1 ou posterior.

Correção

Incorrect Default Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-276CWE-264

Identificadores relacionados

ALT-PU-2020-2466
ALT-PU-2020-2598
ALT-PU-2020-2709
ALT-PU-2020-2933
ALT-PU-2020-2934
ALT-PU-2020-3442
ALT-PU-2021-1368
ALT-PU-2021-1369
ALT-PU-2021-2725
ALT-PU-2021-2881
ALT-PU-2021-3368
ALT-PU-2021-3369
ALT-PU-2022-1781
BDU:2022-05735
CESA-2020_3557
CVE-2020-15653
OPENSUSE-SU-2020:1147-1
OPENSUSE-SU-2020:1155-1
OPENSUSE-SU-2020:1189-1
OPENSUSE-SU-2020_1147-1
OPENSUSE-SU-2020_1155-1
OPENSUSE-SU-2020_1189-1
OPENSUSE-SU-2024:10600-1
OPENSUSE-SU-2024:14572-1
RHSA-2020:3555
RHSA-2020:3557
RHSA-2020:3559
RHSA-2020:4080
RHSA-2020_3557
RHSA-2020_4080
SUSE-SU-2020:14456-1
SUSE-SU-2020:2100-1
SUSE-SU-2020:2118-1
SUSE-SU-2020:2147-1
USN-4443-1

Produtos afetados

Alt Linux
Centos
Firefox
Firefox Esr
Linuxmint
Red Hat
Suse
Thunderbird
Ubuntu