Mozilla Firefox hasta 67.0.2 Array.pop escalada de privilegios
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad ha sido encontrada en Mozilla Firefox hasta 67.0.2 y clasificada como problemática. Está afectada una función desconocida. El manejo da lugar a escalada de privilegios. Esta vulnerabilidad está identificada como CVE-2019-11707. El ataque puede ser realizado a través de la red. También se encuentra disponible un exploit. Es recomendable actualizar el componente afectado.
Detalles
Una vulnerabilidad clasificada como problemática fue encontrada en Mozilla Firefox hasta 67.0.2 (Web Browser). La función Array.pop es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la la disponibilidad. El resumen de CVE es:
Se puede producir una vulnerabilidad de tipo confusión cuando se manipulan objetos de JavaScript debido a problemas en Array.pop. Esto puede permitir un accidente explotable. Somos conscientes de los ataques dirigidos en la naturaleza abusando de este fallo. Esta vulnerabilidad afecta a Firefox ESR anterior a la versión 60.7.1, Firefox anterior a la versión 67.0.3 y Thunderbird anterior a la versión 60.7.2.El error fue descubierto el 2019-04-15. La vulnerabilidad fue publicada el 2019-06-18 por Samuel Gross de Google Project Zero con identificación MFSA 2019-18 con un security advisory (Website) (confirmado). El advisory puede ser descargado de mozilla.org. La publicación se realizó en coordinación con el fabricante. La vulnerabilidad es identificada como CVE-2019-11707. El ataque se puede hacer desde la red. La explotación no necesita ninguna autentificación específica. Los detalles técnicos asi como un exploit público son conocidos.
El exploit puede ser descargado de exploit-db.com. Fue declarado como atacado. Por lo menos durante 64 días, esta vulnerabilidad fue clasificada como exploit día cero.
Una actualización a la versión 67.0.3 elimina esta vulnerabilidad. Una solución posible ha sido publicada inmediatamente después de la publicación de la vulnerabilidad.
La vulnerabilidad también está documentado en las bases de datos Exploit-DB (47038) y Zero-Day.cz (544). Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Afectado
- Mozilla Firefox hasta 67.0.2
- Mozilla Firefox ESR hasta 60.7.0
Producto
Escribe
Proveedor
Nombre
Versión
Licencia
Sitio web
- Proveedor: https://www.mozilla.org/
- Producto: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 6.6VulDB Puntuación meta temporal: 6.4
VulDB Puntuación base: 4.3
VulDB Puntuación temporal: 4.1
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 8.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 🔍
Explotación
Clase: Escalada de privilegiosCWE: CWE-704
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Acceso: Público
Estado: Atacado
Descargar: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Añadido: 🔍
KEV ¿Hasta cuándo?: 🔍
KEV Contramedidas: 🔍
KEV Ransomware: 🔍
KEV Aviso: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Qualys ID: 🔍
Qualys Nombre: 🔍
Exploit-DB: 🔍
Zero-Day.cz: 🔍
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Tiempo de reacción: 🔍
Hora de 0 días: 🔍
Tiempo de exposición: 🔍
Actualización: Firefox 67.0.3
Línea de tiempo
2019-04-15 🔍2019-05-03 🔍
2019-06-18 🔍
2019-06-18 🔍
2019-06-19 🔍
2025-02-23 🔍
Fuentes
Proveedor: mozilla.orgProducto: mozilla.org
Aviso: MFSA 2019-18
Investigador: Samuel Gross
Organización: Google Project Zero
Estado: Confirmado
Coordinado: 🔍
CVE: CVE-2019-11707 (🔍)
GCVE (CVE): GCVE-0-2019-11707
GCVE (VulDB): GCVE-100-136641
scip Labs: https://www.scip.ch/en/?labs.20161013
Misceláneo: 🔍
Artículo
Fecha de creación: 2019-06-19 09:06Actualizado: 2025-02-23 02:26
Cambios: 2019-06-19 09:06 (52), 2020-07-09 16:18 (20), 2024-04-26 09:18 (25), 2024-07-03 18:32 (2), 2024-09-09 22:30 (2), 2025-02-07 14:28 (1), 2025-02-23 02:26 (3)
Completo: 🔍
Remitente: misc
Cache ID: 216::103
Enviar
Aceptado
- Enviar #73: Mozilla Firefox Type confusion in Array.pop (por misc)
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.