Mozilla Firefox 26 XSLT Stylesheet Content Security Policy تجاوز الصلاحيات

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
5.2$0-$5k0.00

الملخصالمعلومات

تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في Mozilla Firefox 26. تتعلق المشكلة بالوظيفة $software_function في المكون XSLT Stylesheet Handler. تؤدي عملية التلاعب إلى تجاوز الصلاحيات (Content Security Policy). تُعرف هذه الثغرة باسم CVE-2014-1485. الهجوم يمكن أن يتم عن بُعد. لا يوجد استغلال متاح. من المستحسن ترقية المكون المتضرر.

التفاصيلالمعلومات

تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في Mozilla Firefox 26. تتعلق المشكلة بالوظيفة $software_function في المكون XSLT Stylesheet Handler. تؤدي عملية التلاعب إلى تجاوز الصلاحيات (Content Security Policy). عبر استخدام CWE في وصف المشكلة، سيتم الإشارة إلى CWE-269. المشكلة تم الإبلاغ عنها بتاريخ 04/02/2014 بواسطة Frederik Braun مع Mozilla كـ MFSA2014-07 كـ استشارة (موقع إلكتروني). تمت مشاركة التنبيه للتنزيل على mozilla.org. تم تنسيق النشر العلني مع البائع.

تُعرف هذه الثغرة باسم CVE-2014-1485. حدث تعيين CVE في 16/01/2014. الهجوم يمكن أن يتم عن بُعد. لا توجد تفاصيل تقنية متوفرة. شعبية هذه الثغرة أقل من المتوسط. لا يوجد استغلال متاح. يحدد مشروع MITRE ATT&CK تقنية الهجوم على أنها T1068.

إذا كان هناك قيمة لـ غير معرفة، فسيتم التصريح بأنه غير معرفة. باعتباره ثغرة يوم الصفر، كان السعر التقديري في السوق السوداء حوالي $25k-$100k. يحتوي برنامج Nessus لفحص الثغرات على ملحق بالمعرف 72312. تم تصنيفه ضمن عائلة FreeBSD Local Security Checks. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق195432 (Ubuntu Security Notification for Firefox Regression (USN-2102-2)).

الترقية إلى الإصدار 27 قادرة على حل هذه المشكلة. من المستحسن ترقية المكون المتضرر.

إذا كان هناك عناصر في source_databases_list، فإن الثغرة موثقة كذلك في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 65322), Secunia (SA56706), Vulnerability Center (SBV-43157) , Tenable (72312).

متأثر

  • Mozilla Firefox 26
  • Mozilla SeaMonkey 2.23

منتجالمعلومات

النوع

المجهز

الأسم

النسخة

الرخصة

موقع إلكتروني

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 5.4
VulDB الدرجة المؤقتة للميتا: 5.2

VulDB الدرجة الأساسية: 5.4
VulDB الدرجة المؤقتة: 5.2
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الأسم: Content Security Policy
الفئة: تجاوز الصلاحيات / Content Security Policy
CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
الحالة: غير معرفة

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Nessus ID: 72312
Nessus الأسم: FreeBSD : mozilla -- multiple vulnerabilities (1753f0ff-8dd5-11e3-9b45-b4b52fce4ce8)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍

OpenVAS ID: 850569
OpenVAS الأسم: SuSE Update for Mozilla openSUSE-SU-2014:0212-1 (Mozilla)
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍

Qualys ID: 🔍
Qualys الأسم: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: ترقية
الحالة: 🔍

زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍

ترقية: Firefox 27

الجدول الزمنيالمعلومات

16/01/2014 🔍
04/02/2014 +19 أيام 🔍
04/02/2014 +0 أيام 🔍
04/02/2014 +0 أيام 🔍
04/02/2014 +0 أيام 🔍
05/02/2014 +1 أيام 🔍
05/02/2014 +0 أيام 🔍
06/02/2014 +1 أيام 🔍
06/02/2014 +0 أيام 🔍
09/06/2021 +2680 أيام 🔍

المصادرالمعلومات

المجهز: mozilla.org
منتج: mozilla.org

استشارة: MFSA2014-07
باحث: Frederik Braun
منظمة: Mozilla
الحالة: مؤكد
تأكيد: 🔍
منسق: 🔍

CVE: CVE-2014-1485 (🔍)
GCVE (CVE): GCVE-0-2014-1485
GCVE (VulDB): GCVE-100-12176

OVAL: 🔍
IAVM: 🔍

X-Force: 90891
SecurityFocus: 65322 - Mozilla Firefox/SeaMonkey CVE-2014-1485 Cross Site Scripting Vulnerability
Secunia: 56706 - Cyberfox Multiple Vulnerabilities, Highly Critical
OSVDB: 102871
SecurityTracker: 1029717
Vulnerability Center: 43157 - Mozilla Firefox and SeaMonkey Remote Code Execution due to Non-Compliance with Specifications for CSP (CVE-2014-1485), Critical

اقرأ أيضاً: 🔍

إدخالالمعلومات

تم الإنشاء: 06/02/2014 10:46 AM
تم التحديث: 09/06/2021 03:09 AM
التغييرات: 06/02/2014 10:46 AM (86), 31/01/2018 09:55 AM (5), 09/06/2021 03:02 AM (3), 09/06/2021 03:09 AM (1)
كامل: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

التالي نظرة عامة السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!