Mozilla Firefox/Firefox ESR/Thunderbird Sandbox escalada de privilegios
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 7.6 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad fue encontrada en Mozilla Firefox, Firefox ESR and Thunderbird y clasificada como crítica. Se ve afectada una función desconocida del componente Sandbox. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esta vulnerabilidad está identificada como CVE-2019-9812. El ataque se puede efectuar a través de la red. No hay ningún exploit disponible. Es recomendable actualizar el componente afectado.
Detalles
Una vulnerabilidad fue encontrada en Mozilla Firefox, Firefox ESR y Thunderbird (Web Browser) y clasificada como crítica. Una función desconocida del componente Sandbox es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. El resumen de CVE es:
Dado un proceso de contenido comprometido dentro del sandbox debido a una vulnerabilidad separada, es posible escapar de ese sandbox cargando accounts.firefox.com en ese proceso y forzando un inicio de sesión en una cuenta de Firefox Sync maliciosa. La configuración de preferencias que deshabilita el sandbox es sincronizada con la máquina local y el navegador comprometido se reiniciará sin el sandbox si es activado un bloqueo. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 60.9, Firefox ESR versiones anteriores a la versión 68.1 y Firefox versiones anteriores a la versión 69.La vulnerabilidad fue publicada el 2020-01-08 con identificación Bug 1538008 con un bug report (Bugzilla) (no está definido). El advisory puede ser descargado de bugzilla.mozilla.org. La vulnerabilidad es identificada como CVE-2019-9812. El ataque se puede efectuar a través de la red. La explotación no necesita ninguna autentificación específica. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Una actualización elimina esta vulnerabilidad.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Producto
Escribe
Proveedor
Nombre
Licencia
Sitio web
- Proveedor: https://www.mozilla.org/
- Producto: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 7.8VulDB Puntuación meta temporal: 7.6
VulDB Puntuación base: 6.3
VulDB Puntuación temporal: 6.0
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 9.3
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 🔍
Explotación
Clase: Escalada de privilegiosCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔍
Línea de tiempo
2019-03-14 🔍2020-01-08 🔍
2020-01-09 🔍
2025-11-26 🔍
Fuentes
Proveedor: mozilla.orgProducto: mozilla.org
Aviso: Bug 1538008
Estado: Confirmado
CVE: CVE-2019-9812 (🔍)
GCVE (CVE): GCVE-0-2019-9812
GCVE (VulDB): GCVE-100-148451
Artículo
Fecha de creación: 2020-01-09 10:07Actualizado: 2025-11-26 10:24
Cambios: 2020-01-09 10:07 (41), 2020-01-09 10:12 (18), 2025-11-26 10:24 (19)
Completo: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.