Mozilla Bugzilla 3.4/3.4.1 Browser History token.cgi Elevação de Privilégios
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade classificada como crítico foi encontrada em Mozilla Bugzilla 3.4/3.4.1. O elemento afetado é uma função não identificada no arquivo token.cgi no componente Browser History. A manipulação resulta em Elevação de Privilégios. Esta vulnerabilidade é identificada como CVE-2009-3166. Não existe nenhum exploit disponível.
Detalhes
Uma vulnerabilidade classificada como crítico foi encontrada em Mozilla Bugzilla 3.4/3.4.1. O elemento afetado é uma função não identificada no arquivo token.cgi no componente Browser History. A manipulação resulta em Elevação de Privilégios. O uso do CWE para declarar o problema aponta para CWE-255. Esta vulnerabilidade foi publicada 15/09/2009 por Max Kanat-Alexander (Site). O comunicado foi disponibilizado para download em securityfocus.com.
Esta vulnerabilidade é identificada como CVE-2009-3166. Há detalhes técnicos disponíveis. Esta vulnerabilidade apresenta popularidade inferior à média. Não existe nenhum exploit disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. Esta vulnerabilidade é atribuída a T1552 pelo projecto MITRE ATT&CK.
Encontra-se declarado como não definido. Como 0-day, o valor estimado no mercado ilegal era por volta de $5k-$25k. O scanner de vulnerabilidades Nessus fornece um plugin com o ID 41007. Pertence à família FreeBSD Local Security Checks. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 12298 (Mozilla Bugzilla WebService Function SQL Injection Vulnerabilities and URL Password Information Disclosure Vulnerability).
Outros bancos de dados de vulnerabilidades também documentam esta vulnerabilidade: SecurityFocus (BID 36372), SecurityTracker (ID 1022902), Vulnerability Center (SBV-23544) e Tenable (41007).
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.mozilla.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 5.3VulDB Meta Pontuação Temporária: 5.3
VulDB Pontuação Base: 5.3
VulDB Pontuação Temporária: 5.3
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Elevação de PrivilégiosCWE: CWE-255
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 41007
Nessus Nome: FreeBSD : bugzilla -- two SQL injections, sensitive data exposure (b9ec7fe3-a38a-11de-9c6b-003048818f40)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
OpenVAS ID: 64916
OpenVAS Nome: Fedora Core 10 FEDORA-2009-9550 (bugzilla)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: nenhuma medida conhecidaEstado: 🔍
Tempo 0-dia: 🔍
Linha do tempo
11/09/2009 🔍11/09/2009 🔍
11/09/2009 🔍
15/09/2009 🔍
15/09/2009 🔍
22/09/2009 🔍
18/03/2015 🔍
27/07/2024 🔍
Fontes
Fabricante: mozilla.orgAconselhamento: securityfocus.com⛔
Pessoa: Max Kanat-Alexander
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2009-3166 (🔍)
GCVE (CVE): GCVE-0-2009-3166
GCVE (VulDB): GCVE-100-50048
SecurityFocus: 36372 - Mozilla Bugzilla URL Password Information Disclosure Vulnerability
SecurityTracker: 1022902
Vulnerability Center: 23544 - Mozilla Bugzilla 3.4 Through 3.4.1 Remote Information Disclosure Vulnerability, High
Veja também: 🔍
Entrada
Criado: 18/03/2015 15h15Atualizado: 27/07/2024 23h52
Ajustamentos: 18/03/2015 15h15 (59), 15/02/2017 09h14 (10), 22/08/2021 16h55 (4), 22/08/2021 17h03 (1), 27/07/2024 23h52 (16)
Completo: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.