CRITICAL🇬🇧 English

CVE-2024-6611

Mozilla Firefox/Thunderbird: nieprawidłowe wysyłanie cookies SameSite przez zagnieżdżony iframe

CVSS 9.8v3.1pub. 2024-07-09upd. 2025-04-04

Podatność w Mozilla Firefox i Thunderbird umożliwia zagnieżdżonemu elementowi iframe wywołanie nawigacji cross-site i wysłanie cookies oznaczonych jako SameSite=Strict lub SameSite=Lax, co narusza zamierzone ograniczenia bezpieczeństwa. Jest to groźne, ponieważ mechanizm SameSite ma chronić użytkowników przed atakami typu CSRF oraz nieautoryzowanym dostępem do sesji.

Pokaż oryginał (EN)

A nested iframe, triggering a cross-site navigation, could send SameSite=Strict or Lax cookies. This vulnerability affects Firefox < 128 and Thunderbird < 128.

🤖 Analiza AI
Jak działa

Atak polega na wykorzystaniu zagnieżdżonego elementu iframe, który wyzwala nawigację cross-site. W normalnych warunkach cookies z atrybutem SameSite=Strict lub SameSite=Lax nie powinny być wysyłane w żądaniach inicjowanych z innych witryn. Błąd w logice przeglądarki powoduje jednak, że w opisanym scenariuszu restrykcje SameSite są pomijane i cookies są dołączane do żądania pomimo przekroczenia granicy origin. Umożliwia to atakującemu przeprowadzenie ataku z zewnętrznej witryny z uwierzytelnieniem ofiary.

Skutki

Atakujący może ominąć zabezpieczenia SameSite cookies i wysyłać uwierzytelnione żądania w imieniu ofiary do innych witryn, co w praktyce otwiera drogę do ataków Cross-Site Request Forgery (CSRF) oraz nieautoryzowanego dostępu do zasobów chronionych sesją użytkownika.

Mitygacja

Należy zaktualizować Mozilla Firefox do wersji 128 lub nowszej oraz Mozilla Thunderbird do wersji 128 lub nowszej. Patche zostały opisane w oficjalnych biuletynach bezpieczeństwa Mozilla MFSA2024-29 oraz MFSA2024-32.

Kogo dotyczy

Mozilla Firefox w wersjach poniżej 128 oraz Mozilla Thunderbird w wersjach poniżej 128.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 128.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 128.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...