Mozilla Firefox तक 1.5.0.4 Proxy AutoConfig Function.prototype.call दूरस्थ कोड निष्पादन
| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
सारांश
एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Mozilla Firefox 1.5/1.5.0.1/1.5.0.2/1.5.0.3/1.5.0.4 में पाई गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन फ़ाइल Function.prototype.call का घटक Proxy AutoConfig का। इसमें शामिल है, जिससे दूरस्थ कोड निष्पादन उत्पन्न होती है। इस संवेदनशीलता को CVE-2006-3808 के रूप में जाना जाता है। यह हमला दूर से किया जा सकता है। कोई शोषण उपलब्ध नहीं है. यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।
विवरण
एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Mozilla Firefox 1.5/1.5.0.1/1.5.0.2/1.5.0.3/1.5.0.4 में पाई गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन फ़ाइल Function.prototype.call का घटक Proxy AutoConfig का। इसमें शामिल है, जिससे दूरस्थ कोड निष्पादन उत्पन्न होती है। CWE का उपयोग करके समस्या को घोषित करने से CWE-192 प्राप्त होता है। कमजोरी प्रकाशित की गई थी 25/07/2006 द्वारा Benjamin Smedberg (moz_bug_r_a4) के साथ TippingPoint and the Zero Day Initiative के रूप में MFSA2006-52 के रूप में सलाह (वेबसाइट). एडवाइजरी को mozilla.org पर डाउनलोड के लिए उपलब्ध कराया गया है।
इस संवेदनशीलता को CVE-2006-3808 के रूप में जाना जाता है। 24/07/2006 पर CVE आवंटित किया गया था. यह हमला दूर से किया जा सकता है। टेक्निकल जानकारी उपलब्ध है. कोई शोषण उपलब्ध नहीं है. वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है।
इसे अवधारणा प्रमाण के रूप में घोषित किया गया है। 0-डे के तौर पर इसकी अनुमानित अवैध बाजार कीमत करीब $25k-$100k थी. वल्नरेबिलिटी स्कैनर Nessus ID 22162 वाला एक प्लगइन प्रदान करता है (CentOS 3 : seamonkey (CESA-2006:0608)), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है। इसे CentOS Local Security Checks परिवार में असाइन किया गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 117672 प्लगइन से कर सकता है (CentOS Security Update for SeaMonkey (CESA-2006:0608)).
बगफिक्स डाउनलोड हेतु mozilla.com पर उपलब्ध है। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।
इसके अलावा, इस प्रकार के हमले का पता लगाना और इसे रोकना TippingPoint और फ़िल्टर 4326 के साथ संभव है। कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 19181), X-Force (27989), Secunia (SA19873), SecurityTracker (ID 1016586) , Vulnerability Center (SBV-12401).
उत्पाद
प्रकार
विक्रेता
नाम
संस्करण
लाइसेंस
वेबसाइट
- विक्रेता: https://www.mozilla.org/
- उत्पाद: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 6.3VulDB मेटा अस्थायी स्कोर: 5.5
VulDB मूल स्कोर: 6.3
VulDB अस्थायी स्कोर: 5.5
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: दूरस्थ कोड निष्पादनCWE: CWE-192 / CWE-189
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: अवधारणा प्रमाण
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 22162
Nessus नाम: CentOS 3 : seamonkey (CESA-2006:0608)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
OpenVAS ID: 57302
OpenVAS नाम: Debian Security Advisory DSA 1159-1 (mozilla-thunderbird)
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
0-दिवसीय समय: 🔍
पैच: mozilla.com
TippingPoint: 🔍
SourceFire IPS: 🔍
समयरेखा
24/07/2006 🔍25/07/2006 🔍
26/07/2006 🔍
26/07/2006 🔍
27/07/2006 🔍
27/07/2006 🔍
27/07/2006 🔍
27/07/2006 🔍
28/07/2006 🔍
01/08/2006 🔍
13/03/2021 🔍
स्रोत
विक्रेता: mozilla.orgउत्पाद: mozilla.org
सलाह: MFSA2006-52
शोधकर्ता: Benjamin Smedberg (moz_bug_r_a4)
संगठन: TippingPoint and the Zero Day Initiative
स्थिति: पुष्टि की गई
पुष्टि: 🔍
CVE: CVE-2006-3808 (🔍)
GCVE (CVE): GCVE-0-2006-3808
GCVE (VulDB): GCVE-100-2403
OVAL: 🔍
X-Force: 27989 - Mozilla Firefox and SeaMonkey Proxy AutoConfig (PAC) code execution, Medium Risk
SecurityFocus: 19181 - Mozilla Multiple Products Remote Vulnerabilities
Secunia: 19873 - Mozilla Firefox Multiple Vulnerabilities, Highly Critical
OSVDB: 27567 - Mozilla Multiple Products PAC Script FindProxyForURL Function Privilege Escalation
SecurityTracker: 1016586 - Mozilla Firefox Multiple Bugs Let Remote Users Execute Arbitrary Code
Vulnerability Center: 12401 - Mozilla Firefox and SeaMonkey Remote PAC Servers Code Execution with Elevated Privileges, Medium
Vupen: ADV-2006-2998
विविध: 🔍
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 28/07/2006 12:03 PMअद्यतनित: 13/03/2021 10:45 AM
परिवर्तन: 28/07/2006 12:03 PM (94), 31/01/2018 09:53 AM (11), 13/03/2021 10:45 AM (3)
पूर्ण: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें