Mozilla Firefox/Thunderbird 16.0.1/16.0.2 Sandbox evalInSandbox location.href Remote Code Execution
| CVSS Meta Temp poäng | Nuvarande exploateringspris (≈) | CTI intressepoäng |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Det var en problematiskt svag punkt upptäcktes i Mozilla Firefox och Thunderbird 16.0.1/16.0.2 (Web Browser). Som påverkar funktionen evalInSandbox av komponenten Sandbox. Manipulering av argumenten location.href en okänd ingång leder till en sårbarhet klass remote code execution svag punkt.
Den svaga punkten är publicerad 20/11/2012 av moz_bug_r_a4 av Mozilla Corporation som MFSA 2012-93 i en form rådgivande (Website) (bekräftad). Den rådgivande finns tillgänglig för nedladdning på mozilla.org. Publikationen gjordes i samarbete med tillverkaren. Denna svaga punkt behandlas som CVE-2012-4201. De kan lätt utnyttjas. Attacken på nätet kan. Ingen autentisering-krävs för användning. Det finns tekniska detaljer och en exploit känd.
Han deklarerade proof-of-concept. För vulnerability scanner Nessus en plugin har släppts med ID 74824 (openSUSE Security Update : MozillaFirefox (openSUSE-SU-2012:1583-1)), så att sårbarheten kan testas.
En uppgradering till den version 17.0 att åtgärda problemet. Uppgraderingen som erbjuds för nedladding mozilla.org. En möjlig åtgärd har utfärdats omedelbart efter offentliggörandet.
Sårbarheten dokumenteras i databaser X-Force (80171) och Tenable (74824).
Produkt
Typ
Säljare
namn
Version
Licens
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vektor: 🔍
VulDB Pålitlighet: 🔍
CVSSv3
VulDB Meta Basscore: 6.3VulDB Meta Temp poäng: 5.7
VulDB Baspoäng: 6.3
VulDB Temp Betyg: 5.7
VulDB Vektor: 🔍
VulDB Pålitlighet: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexitet | Autentisering | Sekretess | Integritet | Tillgänglighet |
|---|---|---|---|---|---|
| låsa upp | låsa upp | låsa upp | låsa upp | låsa upp | låsa upp |
| låsa upp | låsa upp | låsa upp | låsa upp | låsa upp | låsa upp |
| låsa upp | låsa upp | låsa upp | låsa upp | låsa upp | låsa upp |
VulDB Baspoäng: 🔍
VulDB Temp Betyg: 🔍
VulDB Pålitlighet: 🔍
NVD Baspoäng: 🔍
Utnyttjar
Klass: Remote Code ExecutionCWE: CWE-16
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nej
Avlägsen: Ja
Tillgänglighet: 🔍
Tillgång: Privat
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Pris förutsägelse: 🔍
Nuvarande prisuppskattning: 🔍
| 0-Day | låsa upp | låsa upp | låsa upp | låsa upp |
|---|---|---|---|---|
| I dag | låsa upp | låsa upp | låsa upp | låsa upp |
Nessus ID: 74824
Nessus namn: openSUSE Security Update : MozillaFirefox (openSUSE-SU-2012:1583-1)
Nessus Fil: 🔍
Nessus Risk: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 892583
OpenVAS namn: Debian Security Advisory DSA 2583-1 (iceweasel - several vulnerabilities
OpenVAS Fil: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys namn: 🔍
Hotinformation
Intressera: 🔍Aktiva skådespelare: 🔍
Aktiva APT-grupper: 🔍
Motåtgärder
Rekommenderad: UpgradeStatus: 🔍
Reaktionstid: 🔍
0-dagars tid: 🔍
Exponeringstid: 🔍
Upgrade: Firefox/Thunderbird 17.0
Tidslinje
08/08/2012 🔍20/11/2012 🔍
20/11/2012 🔍
20/11/2012 🔍
20/11/2012 🔍
21/11/2012 🔍
21/11/2012 🔍
21/11/2012 🔍
22/11/2012 🔍
23/11/2012 🔍
13/06/2014 🔍
19/04/2021 🔍
Källor
Säljare: mozilla.orgProdukt: mozilla.org
Rådgivande: MFSA 2012-93
Forskare: moz_bug_r_a4
Organisation: Mozilla Corporation
Status: Bekräftad
Bekräftelse: 🔍
Koordinerad: 🔍
CVE: CVE-2012-4201 (🔍)
OVAL: 🔍
X-Force: 80171
SecurityTracker: 1027791 - Mozilla Firefox Multiple Bugs Let Remote Users Execute Arbitrary Code and Conduct Cross-Site Scripting Attacks
Vulnerability Center: 37362 - Mozilla Firefox, Thunderbird and SeaMonkey Cross-Site Scripting and File Read - CVE-2012-4201, Medium
SecurityFocus: 56618 - Mozilla Firefox, SeaMonkey, and Thunderbird CVE-2012-4201 Cross Site Scripting Vulnerability
Secunia: 51358 - Mozilla Firefox / Thunderbird Multiple Vulnerabilities, Highly Critical
OSVDB: 87594
Heise: 1754585
scip Labs: https://www.scip.ch/en/?labs.20161013
Övrigt: 🔍
Se även: 🔍
Inträde
Skapad: 23/11/2012 13:36Uppdaterad: 19/04/2021 13:26
Ändringar: 23/11/2012 13:36 (94), 31/01/2018 09:53 (5), 19/04/2021 13:26 (3)
Komplett: 🔍
Inga kommentarer än. språk: sv + en.
Logga in för att kommentera.