Mozilla Firefox/Thunderbird قبل 23.0 على Windows Path UninstallString تجاوز الصلاحيات ⚔ [متنازع عليه]
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 4.7 | $0-$5k | 0.00 |
الملخص
تم أكتشاف ثغرة أمنية في Mozilla Firefox and Thunderbird. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية متواجدة في دالة غير معروفة من العنصر Path Handler. تؤدي عملية التلاعب بالوسيط UninstallString إلى تجاوز الصلاحيات. علاوة على ذلك، يوجد استغلال متاح. لا يزال الوجود الفعلي لهذه الثغرة محل شك في الوقت الحالي. يوصى بترقية العنصر المتأثر.
التفاصيل
تم أكتشاف ثغرة أمنية في Mozilla Firefox and Thunderbird. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية متواجدة في دالة غير معروفة من العنصر Path Handler. تؤدي عملية التلاعب بالوسيط UninstallString إلى تجاوز الصلاحيات. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-269. تم الإعلان عن الثغرة 28/08/2012 من قبل Stefan Kanthak تحت CVE request for Mozilla Firefox (Windows) كنوع Mailinglist Post (oss-sec). يمكن عرض الاستشارة من هنا seclists.org. تم نشر هذه البيانات من دون علم الشركة المالكة.
التفاصيل التقنية متوفرة. شعبية هذه الثغرة أقل من المتوسط. علاوة على ذلك، يوجد استغلال متاح. تم نشر تفاصيل الاستغلال للعامة وقد يُستخدم. يصرح مشروع MITRE ATT&CK بأن تقنية الهجوم هي T1068.
إذا وُجد إثبات المفهوم، فإنه يُصرح به كـ إثبات المفهوم. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $5k-$25k. لا يزال الوجود الفعلي لهذه الثغرة محل شك في الوقت الحالي.
حل هذه المشكلة ممكن عبر الترقية إلى الإصدار 23.0. يوصى بترقية العنصر المتأثر. تم إصدار وسيلة معالجة محتملة 2 سنوات عقب الإفصاح عن الثغرة.
منتج
النوع
المجهز
الأسم
الرخصة
موقع إلكتروني
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.4VulDB الدرجة المؤقتة للميتا: 4.7
VulDB الدرجة الأساسية: 5.4
VulDB الدرجة المؤقتة: 4.7
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
استغلال
الفئة: تجاوز الصلاحياتCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
وقت تأخير الاستغلال: 🔍
ترقية: Firefox/Thunderbird 23.0
الجدول الزمني
28/08/2012 🔍28/08/2012 🔍
06/08/2013 🔍
28/08/2013 🔍
21/03/2019 🔍
المصادر
المجهز: mozilla.orgمنتج: mozilla.org
استشارة: CVE request for Mozilla Firefox (Windows)
باحث: Stefan Kanthak
الحالة: غير معرفة
متنازع عليه: 🔍
GCVE (VulDB): GCVE-100-10052
OSVDB: 96491
scip Labs: https://www.scip.ch/en/?labs.20161013
متفرقات: 🔍
إدخال
تم الإنشاء: 28/08/2013 11:16 AMتم التحديث: 21/03/2019 02:36 PM
التغييرات: 28/08/2013 11:16 AM (53), 21/03/2019 02:36 PM (2)
كامل: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق