Katalog CVE

CVE-2025-6427

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Atakujący mógł obejść dyrektywę `connect-src` w Polityce Bezpieczeństwa Treści, manipulując poddokumentami. W wyniku tego połączenia byłyby ukryte w zakładce Sieć w narzędziach deweloperskich.

Ocena ryzyka

Wykorzystanie tej podatności mogło prowadzić do nieautoryzowanego dostępu do danych oraz naruszenia prywatności użytkowników. Organizacje mogą być narażone na ataki typu cross-site scripting (XSS).

Rekomendacja

Zaleca się aktualizację przeglądarek Firefox i Thunderbird do wersji 140 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeanalizować i dostosować polityki bezpieczeństwa treści w aplikacjach webowych.

Oryginalny opis (angielski, źródło NVD)

An attacker was able to bypass the `connect-src` directive of a Content Security Policy by manipulating subdocuments. This would have also hidden the connections from the Network tab in Devtools. This vulnerability was fixed in Firefox 140 and Thunderbird 140.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS