Mozilla Firefox 42 Cookie Vertical Tab Divulgação de Informação
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Sumário
Foi identificada uma vulnerabilidade classificada como crítico em Mozilla Firefox 42. O elemento afetado é uma função não identificada no componente Cookie Handler. A manipulação como parte de Vertical Tab resulta em Divulgação de Informação. Esta vulnerabilidade é identificada como CVE-2015-7208. Não existe nenhum exploit disponível. É aconselhável atualizar o componente afetado.
Detalhes
Foi identificada uma vulnerabilidade classificada como crítico em Mozilla Firefox 42. O elemento afetado é uma função não identificada no componente Cookie Handler. A manipulação como parte de Vertical Tab resulta em Divulgação de Informação. O uso do CWE para declarar o problema aponta para CWE-200. Esta vulnerabilidade foi publicada 15/12/2015 por musicDespiteEverything como MFSA2015-137 como Security Advisory (Site). O comunicado foi disponibilizado para download em mozilla.org.
Esta vulnerabilidade é identificada como CVE-2015-7208. A atribuição do identificador CVE aconteceu em 16/09/2015. Nenhuma informação técnica disponível. Esta vulnerabilidade apresenta popularidade inferior à média. Não existe nenhum exploit disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. Esta vulnerabilidade é atribuída a T1592 pelo projecto MITRE ATT&CK. O boletim informa:
Security researcher musicDespiteEverything reported an issue when ASCII code 11 for vertical tab is stored in a cookie in violation of RFC6265. This may result in incorrect cookie handling by servers, resulting in the potential ability to set cookie values and read cookie data from users in concert with some web servers if the vertical tab character is mishandled during parsing.
Encontra-se declarado como não definido. Como 0-day, o valor estimado no mercado ilegal era por volta de $5k-$25k. O scanner de vulnerabilidades Nessus fornece um plugin com o ID 87385. Pertence à família FreeBSD Local Security Checks. O plugin opera no contexto do tipo l. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 168483 (OpenSuSE Security Update for Mozilla Firefox (openSUSE-SU-2016:0306-1)).
Atualizar para a versão 43 é suficiente para tratar esta vulnerabilidade. É aconselhável atualizar o componente afetado.
Outros bancos de dados de vulnerabilidades também documentam esta vulnerabilidade: SecurityFocus (BID 79280), Vulnerability Center (SBV-55291) e Tenable (87385).
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.mozilla.org/
- Produto: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 7.3VulDB Meta Pontuação Temporária: 7.0
VulDB Pontuação Base: 7.3
VulDB Pontuação Temporária: 7.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Divulgação de InformaçãoCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 87385
Nessus Nome: FreeBSD : mozilla -- multiple vulnerabilities (2c2d1c39-1396-459a-91f5-ca03ee7c64c6)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍
OpenVAS ID: 803852
OpenVAS Nome: Mozilla Firefox Multiple Vulnerabilities - Dec15 (Windows)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Atualização: Firefox 43
Linha do tempo
16/09/2015 🔍15/12/2015 🔍
15/12/2015 🔍
15/12/2015 🔍
16/12/2015 🔍
16/12/2015 🔍
16/12/2015 🔍
16/12/2015 🔍
01/07/2022 🔍
Fontes
Fabricante: mozilla.orgProduto: mozilla.org
Aconselhamento: MFSA2015-137
Pessoa: musicDespiteEverything
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2015-7208 (🔍)
GCVE (CVE): GCVE-0-2015-7208
GCVE (VulDB): GCVE-100-79808
SecurityFocus: 79280
SecurityTracker: 1034426
Vulnerability Center: 55291 - Mozilla Firefox <43 Remote Cookie Injection Vulnerability - CVE-2015-7208, Medium
Veja também: 🔍
Entrada
Criado: 16/12/2015 11h19Atualizado: 01/07/2022 08h38
Ajustamentos: 16/12/2015 11h19 (70), 15/05/2018 09h08 (8), 01/07/2022 08h38 (3)
Completo: 🔍
Cache ID: 216:D5A:103
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.