CVE-2025-6427
KrytyczneStreszczenie
Atakujący mógł obejść dyrektywę `connect-src` w Polityce Bezpieczeństwa Treści, manipulując poddokumentami. W wyniku tego połączenia byłyby ukryte w zakładce Sieć w narzędziach deweloperskich.
Ocena ryzyka
Wykorzystanie tej podatności mogło prowadzić do nieautoryzowanego dostępu do danych oraz naruszenia prywatności użytkowników. Organizacje mogą być narażone na ataki typu cross-site scripting (XSS).
Rekomendacja
Zaleca się aktualizację przeglądarek Firefox i Thunderbird do wersji 140 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeanalizować i dostosować polityki bezpieczeństwa treści w aplikacjach webowych.
Oryginalny opis (angielski, źródło NVD)
An attacker was able to bypass the `connect-src` directive of a Content Security Policy by manipulating subdocuments. This would have also hidden the connections from the Network tab in Devtools. This vulnerability was fixed in Firefox 140 and Thunderbird 140.

