ASA-2019-00432 – Mozilla Firefox: Requisições POST cross-origin podem ser feitas com plugins NPAPI seguindo-se 308 redirecionamentos


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00432

Identificador(es)

ASA-2019-00432, CVE-2019-11712, MFSA2019-21

Título

Requisições POST cross-origin podem ser feitas com plugins NPAPI seguindo-se 308 redirecionamentos

Fabricante(s)

Mozilla Foundation

Produto(s)

Mozilla Firefox

Versão(ões) afetada(s)

Mozilla Firefox versões anteriores a 68

Versão(ões) corrigida(s)

Mozilla Firefox versão 68

Prova de conceito

Desconhecido

Descrição

As requisições POST feitas pelos plugins NPAPI, como o Flash, que recebem uma resposta de redirecionamento de status 308 podem ignorar os requisitos do CORS. Isso pode permitir que um atacante realize ataques Cross-Site Request Forgery (CSRF).

Detalhes técnicos

Desconhecido

Créditos

Gregory Smiley (Security Compass)

Referência(s)

Mozilla Foundation Security Advisory 2019-21
https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/#CVE-2019-11712

Bug 1543804
https://bugzilla.mozilla.org/show_bug.cgi?id=1543804

CVE-2019-11712
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11712

CVE-2019-11712
https://nvd.nist.gov/vuln/detail/CVE-2019-11712

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 18 julho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.