CVE-2023-6868

MITJÀ: (6,5)

CVSS3: 5,7

Mozilla Firefox per a Android podria permetre que un atacant remot eludís les restriccions de seguretat, causades pel fet que les sol·licituds de WebPush no requereixen VAPIDkey. En persuadir una víctima perquè visiti un lloc web especialment dissenyat, un atacant remot podria explotar aquesta vulnerabilitat per evitar les restriccions de seguretat.

Sistemes Afectats

• Mozilla Firefox for Android 115.5

Remediació
Consulteu l’Avís de seguretat de la Fundació Mozilla 2023-56 per obtenir informació sobre pedaços, actualitzacions o solucions alternatives suggerides. Vegeu-ne les Referències.

Referències

• Security Vulnerabilities fixed in Firefox 121
• In some instances, the user-agent would allow push requests which lacked a valid VAPID even though the push manager subscription defined one.