CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-6427

Critical
Published: Translated: NVD NIST

Summary

Atakujący mógł obejść dyrektywę `connect-src` w Polityce Bezpieczeństwa Treści, manipulując poddokumentami. W wyniku tego połączenia byłyby ukryte w zakładce Sieć w narzędziach deweloperskich.

Risk Assessment

Wykorzystanie tej podatności mogło prowadzić do nieautoryzowanego dostępu do danych oraz naruszenia prywatności użytkowników. Organizacje mogą być narażone na ataki typu cross-site scripting (XSS).

Recommendation

Zaleca się aktualizację przeglądarek Firefox i Thunderbird do wersji 140 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeanalizować i dostosować polityki bezpieczeństwa treści w aplikacjach webowych.

Original NVD description (English source)

An attacker was able to bypass the `connect-src` directive of a Content Security Policy by manipulating subdocuments. This would have also hidden the connections from the Network tab in Devtools. This vulnerability was fixed in Firefox 140 and Thunderbird 140.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS