現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-32
Mozilla Foundation セキュリティアドバイザリ 2010-32
タイトル: Content-Type: multipart 設定時に Content-Disposition: attachment が無視される
重要度: 中
公開日: 2010/06/22
報告者: Ilja van Sprundel
影響を受ける製品: Firefox、SeaMonkey
修正済みのバージョン: Firefox 3.6.4
Firefox 3.5.10
SeaMonkey 2.0.5
概要
HTTP の Content-Type: multipart ヘッダが設定されていたときに、Content-Disposition: attachment ヘッダが無視されてしまうことが、IOActive のセキュリティ研究者 Ilja van Sprundel 氏によって報告されました。この問題は、任意のファイルのアップロードと Content-Type の指定をユーザに許可しながら、コンテンツのインライン表示を防ぐために Content-Disposition: attachment に依存しているサイトにおいて、クロスサイトスクリプティング (XSS) 脆弱性につながる潜在的な可能性を含むものでした。
