Mozilla Firefox até 13.0 Drag / Drop Feature Autenticação fraca

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
4.8	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade foi encontrada em Mozilla Firefox. Foi classificada como crítico. O impacto ocorre em uma função desconhecida no componente Drag / Drop Feature. O tratamento leva a Autenticação fraca. Esta vulnerabilidade é referenciada como CVE-2012-1950. É possível lançar o ataque remotamente. Adicionalmente, há um exploit disponível. Recomenda-se a actualização do componente afectado.

Detalhesinformação

Uma vulnerabilidade foi encontrada em Mozilla Firefox. Foi classificada como crítico. O impacto ocorre em uma função desconhecida no componente Drag / Drop Feature. O tratamento leva a Autenticação fraca. Usar CWE para declarar o problema leva a CWE-290. O problema foi divulgado 17/07/2012 por Mario Gomes com Code Audit Labs como MFSA 2012-43 como Aconselhamento (Site). O aviso pode ser baixado em mozilla.org. A divulgação pública foi coordenada em cooperação com o vendedor.

Esta vulnerabilidade é referenciada como CVE-2012-1950. A designação do CVE foi realizada em 30/03/2012. É possível lançar o ataque remotamente. Não existem detalhes técnicos acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Adicionalmente, há um exploit disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento.

Está declarado como prova de conceito. Como 0 dia, o preço estimado do subsolo foi de cerca de $5k-$25k. O Nessus, ferramenta de varredura de vulnerabilidades, disponibiliza um plugin com o identificador 802892. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 120366 (Red Hat Update for Xulrunner Firefox (RHSA-2012:1088)).

A actualização para a versão 14 é capaz de abordar esta questão. A versão actualizada está pronta para ser descarregada em mozilla.org. Recomenda-se a actualização do componente afectado.

A vulnerabilidade também está documentada em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 54580), X-Force (76977), Secunia (SA49964), SecurityTracker (ID 1027256) e Vulnerability Center (SBV-35681).

Produtoinformação

Tipo

• Web Browser

Fabricante

• Mozilla

Nome

• Firefox

Versão

• 4.0
• 4.0.1
• 5.0
• 5.0.1
• 6.0
• 6.0.1
• 6.0.2
• 7.0
• 7.0.1
• 8.0
• 8.0.1
• 9.0
• 9.0.1
• 10.0
• 10.0.1
• 10.0.2
• 10.0.3
• 10.0.4
• 10.0.5
• 11.0
• 12.0
• 13.0

Licença

• código aberto

Site

• Fabricante: https://www.mozilla.org/
• Produto: https://www.mozilla.org/en-US/firefox/

CPE 2.3informação

• 🔍
• 🔍
• 🔍

CPE 2.2informação

• 🔍
• 🔍
• 🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 5.3
VulDB Meta Pontuação Temporária: 4.8

VulDB Pontuação Base: 5.3
VulDB Pontuação Temporária: 4.8
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Autenticação fraca
CWE: CWE-290 / CWE-287
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Privado
Estado: Prova de conceito

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 802892
Nessus Ficheiro: 🔍
Nessus Risco: 🔍

OpenVAS ID: 71490
OpenVAS Nome: Debian Security Advisory DSA 2514-1 (iceweasel)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍

Atualização: Firefox 14

Linha do tempoinformação

30/03/2012 🔍
17/07/2012 +109 dias 🔍
17/07/2012 +0 dias 🔍
17/07/2012 +0 dias 🔍
17/07/2012 +0 dias 🔍
17/07/2012 +0 dias 🔍
18/07/2012 +1 dias 🔍
18/07/2012 +0 dias 🔍
19/07/2012 +1 dias 🔍
23/07/2012 +4 dias 🔍
25/07/2012 +2 dias 🔍
25/07/2012 +0 dias 🔍
21/10/2024 +4471 dias 🔍

Fontesinformação

Fabricante: mozilla.org
Produto: mozilla.org

Aconselhamento: MFSA 2012-43
Pessoa: Mario Gomes
Empresa: Code Audit Labs
Estado: Confirmado
Confirmação: 🔍
Coordenado: 🔍

CVE: CVE-2012-1950 (🔍)
GCVE (CVE): GCVE-0-2012-1950
GCVE (VulDB): GCVE-100-5681

OVAL: 🔍

X-Force: 76977
SecurityFocus: 54580 - Mozilla Firefox/Thunderbird/Seamonkey MFSA 2012-42 Multiple Memory Corruption Vulnerabilities
Secunia: 49964 - Debian update for iceweasel, Highly Critical
OSVDB: 84008
SecurityTracker: 1027256 - Mozilla Firefox Multiple Bugs Let Remote Users Execute Arbitrary Code, Spoof Web Sites, Obtain Information, and Conduct Cross-Site Scripting Attacks
Vulnerability Center: 35681 - Mozilla Firefox 4.0 - 13.0 and Firefox ESR 10.0 - 10.0.5 Allows Spoofing, Medium

scip Labs: https://www.scip.ch/en/?labs.20161013
Veja também: 🔍

Entradainformação

Criado: 25/07/2012 16h27
Atualizado: 21/10/2024 17h41
Ajustamentos: 25/07/2012 16h27 (81), 31/01/2018 09h54 (13), 21/10/2024 17h41 (17)
Completo: 🔍
Cache ID: 216:730:103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Discussão

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!