Mozilla Firefox/Thunderbird 16.0.1/16.0.2 Sandbox evalInSandbox location.href Remote Code Execution
| CVSS Punteggio Meta Temp | Exploit Prezzo Attuale (≈) | Punteggio di interesse CTI |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Una vulnerabilità di livello problematico è stata rilevata in Mozilla Firefox e Thunderbird 16.0.1/16.0.2 (Web Browser). Riguarda la funzione evalInSandbox del componente Sandbox. Attraverso l'influenza del parametro location.href di un input sconosciuto se causa una vulnerabilità di classe remote code execution. Questo ha un effetto su riservatezza, integrità e disponibilità.
La vulnerabilità è stata pubblicata in data 20/11/2012 da moz_bug_r_a4 da Mozilla Corporation con identificazione MFSA 2012-93 con un advisory (Website) (confermato). L'advisory è scaricabile da mozilla.org. La pubblicazione è stata eseguita con il produttore. Questa vulnerabilità è identificata come CVE-2012-4201. L'utilità è semplice. L'attacco si effettua con la rete. L'utilizzo non richiede alcuna forma di autentificazione. I dettagli tecnici e un privato metodo di utilizzo sono conosciuti.
È stato dichiarato come proof-of-concept. È disponibile un plugin per lo scanner Nessus, numero ID 74824 (openSUSE Security Update : MozillaFirefox (openSUSE-SU-2012:1583-1)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
L'aggiornamento alla versione 17.0 elimina questa vulnerabilità. L'aggiornamento è scaricabile da mozilla.org. Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nel database X-Force (80171) e Tenable (74824).
Prodotto
Genere
Fornitore
Nome
Versione
Licenza
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 6.3VulDB Punteggio Meta Temp: 5.7
VulDB Punteggio di base: 6.3
VulDB Punteggio temporaneo: 5.7
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Exploiting
Classe: Remote Code ExecutionCWE: CWE-16
ATT&CK: T1592.004
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Privato
Stato: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | sbloccare | sbloccare | sbloccare | sbloccare |
|---|---|---|---|---|
| Oggi | sbloccare | sbloccare | sbloccare | sbloccare |
Nessus ID: 74824
Nessus Nome: openSUSE Security Update : MozillaFirefox (openSUSE-SU-2012:1583-1)
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 892583
OpenVAS Nome: Debian Security Advisory DSA 2583-1 (iceweasel - several vulnerabilities
OpenVAS File: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Intelligence Sulle Minacce
Interesse: 🔍Attori Attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: UpgradeStato: 🔍
Tempo di reazione: 🔍
0 giorni di tempo: 🔍
Tempo di esposizione: 🔍
Upgrade: Firefox/Thunderbird 17.0
Sequenza temporale
08/08/2012 🔍20/11/2012 🔍
20/11/2012 🔍
20/11/2012 🔍
20/11/2012 🔍
21/11/2012 🔍
21/11/2012 🔍
21/11/2012 🔍
22/11/2012 🔍
23/11/2012 🔍
13/06/2014 🔍
19/04/2021 🔍
Fonti
Fornitore: mozilla.orgProdotto: mozilla.org
Advisory: MFSA 2012-93
Riceratore: moz_bug_r_a4
Organizzazione: Mozilla Corporation
Stato: Confermato
Confermato: 🔍
Coordinato: 🔍
CVE: CVE-2012-4201 (🔍)
OVAL: 🔍
X-Force: 80171
SecurityTracker: 1027791 - Mozilla Firefox Multiple Bugs Let Remote Users Execute Arbitrary Code and Conduct Cross-Site Scripting Attacks
Vulnerability Center: 37362 - Mozilla Firefox, Thunderbird and SeaMonkey Cross-Site Scripting and File Read - CVE-2012-4201, Medium
SecurityFocus: 56618 - Mozilla Firefox, SeaMonkey, and Thunderbird CVE-2012-4201 Cross Site Scripting Vulnerability
Secunia: 51358 - Mozilla Firefox / Thunderbird Multiple Vulnerabilities, Highly Critical
OSVDB: 87594
scip Labs: https://www.scip.ch/en/?labs.20161013
Varie: 🔍
Vedi anche: 🔍
Voce
Data di creazione: 23/11/2012 13:36Aggiornamenti: 19/04/2021 13:26
I cambiamenti: 23/11/2012 13:36 (94), 31/01/2018 09:53 (5), 19/04/2021 13:26 (3)
Completa: 🔍
Ancora nessun commento. Le Lingue: it + en.
Effettua il login per commentare.