VDB-49241 · CVE-2009-2654 · EDB 33103

Mozilla Firefox 迄 3.5.1 Address Bar window.open 特権昇格

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
5.9	$0-$5k	0.00

要約情報

脆弱性が重大として分類され、Mozilla Firefox 迄 3.5.1で発見されました。影響を受けるのは、コンポーネント【Address Bar】の関数【window.open】です。この操作は、特権昇格を引き起こします。この脆弱性はCVE-2009-2654として取引されています。さらに、悪用手段が存在します。影響を受けているコンポーネントのアップグレードを推奨します。

脆弱性が重大として分類され、Mozilla Firefox 迄 3.5.1で発見されました。影響を受けるのは、コンポーネント【Address Bar】の関数【window.open】です。この操作は、特権昇格を引き起こします。 CWEを使用して問題を宣言すると、CWE-20 につながります。この脆弱性は 2009年08月03日に公開されました、Juan Pablo Lopez Yacubianによって（ウェブサイト）。アドバイザリはvupen.comにて共有されています。

この脆弱性はCVE-2009-2654として取引されています。 CVEのアサインは2009年08月03日に実施されました。技術詳細が存在します。この脆弱性の普及度は平均未満です。さらに、悪用手段が存在します。このエクスプロイトは一般に公開されており、利用される恐れがあります。エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。

概念実証として設定されています。エクスプロイトのダウンロード先はsecurityfocus.comです。 0-dayとして、アンダーグラウンドでの推定価格は$25k-$100k程度でした。 Nessus脆弱性スキャナーは、IDが40648のプラグインを持っています。 SuSE Local Security Checks ファミリーに分類されています。これにはポート 0 が利用されます。商用脆弱性スキャナーQualysではプラグイン【 119088 (Red Hat Update for Xulrunner Firefox (RHSA-2009:1430)) 】を使用してこの問題をテストできます。

この問題は、2.0 8へのアップグレードによって解決可能です。影響を受けているコンポーネントのアップグレードを推奨します。

他の脆弱性データベースにもこの脆弱性の情報があります: SecurityFocus (BID 35803), Secunia (SA36001), SecurityTracker (ID 1022603), Vulnerability Center (SBV-23151) , Tenable (40648).

製品情報

タイプ

Web Browser

ベンダー

Mozilla

名前

Firefox

バージョン

ライセンス

オープンソース

ウェブサイト

ベンダー: https://www.mozilla.org/
製品: https://www.mozilla.org/en-US/firefox/

CPE 2.3情報

CPE 2.2情報

CVSSv4情報

VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv3情報

VulDB ベースメタスコア: 6.5
VulDB 一時的なメタスコア: 5.9

VulDB ベーススコア: 6.5
VulDB 一時的なスコア: 5.9
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv2情報

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

ベクトル	複雑さ	認証	機密性	完全性	可用性
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 🔍

悪用情報

クラス: 特権昇格
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

物理的: いいえ
ローカル: いいえ
リモート: はい

可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
ダウンロード: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

価格予測: 🔍
現在の価格評価: 🔍

0-Day	解除	解除	解除	解除
本日	解除	解除	解除	解除

Nessus ID: 40648
Nessus 名前: openSUSE Security Update : MozillaFirefox (MozillaFirefox-1202)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Port: 🔍

OpenVAS ID: 64757
OpenVAS 名前: Debian Security Advisory DSA 1873-1 (xulrunner)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍

Qualys ID: 🔍
Qualys 名前: 🔍

Exploit-DB: 🔍

脅威インテリジェンス情報

関心: 🔍
アクティブアクター: 🔍
アクティブなAPTグループ: 🔍

対策情報

推奨: アップグレード
ステータス: 🔍

0day日時: 🔍

アップグレード: Firefox 2.0 8

タイムライン情報

2009年07月24日 🔍
2009年07月24日 +0 日 🔍
2009年07月27日 +3 日 🔍
2009年07月27日 +0 日 🔍
2009年08月03日 +6 日 🔍
2009年08月03日 +0 日 🔍
2009年08月03日 +0 日 🔍
2009年08月03日 +0 日 🔍
2009年08月10日 +6 日 🔍
2009年08月20日 +10 日 🔍
2015年03月18日 +2036 日 🔍
2024年12月23日 +3568 日 🔍

ソース情報

ベンダー: mozilla.org
製品: mozilla.org

勧告: vupen.com⛔
調査者: Juan Pablo Lopez Yacubian
ステータス: 確認済み
確認: 🔍

CVE: CVE-2009-2654 (🔍)
GCVE (CVE): GCVE-0-2009-2654
GCVE (VulDB): GCVE-100-49241

OVAL: 🔍

SecurityFocus: 35803 - Mozilla Firefox Error Page Address Bar URI Spoofing Vulnerability
Secunia: 36001
OSVDB: 56717 - Mozilla Firefox window.open() Invalid URL Document Content / SSL Status Spoofing
SecurityTracker: 1022603 - Mozilla Firefox Invalid Character URL Bug Lets Remote Users Spoof URLs
Vulnerability Center: 23151 - Mozilla Firefox Prior to 3.0.13 and 3.5 - 3.5.1 Error Page Remote URL Spoofing Vulnerability, Medium
Vupen: ADV-2009-2006

scip Labs: https://www.scip.ch/en/?labs.20161013
関連情報: 🔍

エントリ情報

作成済み: 2015年03月18日 15:15
更新済み: 2024年12月23日 10:37
変更: 2015年03月18日 15:15 (76), 2017年09月15日 12:10 (14), 2021年08月13日 09:38 (3), 2024年12月23日 10:37 (15)
完了: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

討論

コメントはまだありません。言語: ja + en.

コメントするにはログインしてください。

◂ 前概要次 ▸

Do you know our Splunk app?

Download it now for free!