Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2015-09887

Опубликовано: 31 мар. 2015
Источник: fstec
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость браузера Firefox, заключающаяся в возможности установки дополнений Lightweight Theme без использования HTTPS-соединения. Эксплуатация уязвимости позволяет злоумышленнику, контролирующему сетевой трафик, обойти проверку подлинности пользователя при помощи специально сформированного веб-сайта и подмены DNS запроса «mozilla.org»

Вендор

Mozilla Corp.

Наименование ПО

Firefox

Версия ПО

от 32.0 до 37.0 (Firefox)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .
Сообщество свободного программного обеспечения Linux .
Microsoft Corp. Windows .
Microsoft Corp. Windows .

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 37.0 или более поздней

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 39%
0.00169
Низкий

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2015-0812

ubuntu
около 10 лет назад

Mozilla Firefox before 37.0 does not require an HTTPS session for lightweight theme add-on installations, which allows man-in-the-middle attackers to bypass an intended user-confirmation requirement by deploying a crafted web site and conducting a DNS spoofing attack against a mozilla.org subdomain.

redhat логотип

CVE-2015-0812

redhat
около 10 лет назад

Mozilla Firefox before 37.0 does not require an HTTPS session for lightweight theme add-on installations, which allows man-in-the-middle attackers to bypass an intended user-confirmation requirement by deploying a crafted web site and conducting a DNS spoofing attack against a mozilla.org subdomain.

nvd логотип

CVE-2015-0812

nvd
около 10 лет назад

Mozilla Firefox before 37.0 does not require an HTTPS session for lightweight theme add-on installations, which allows man-in-the-middle attackers to bypass an intended user-confirmation requirement by deploying a crafted web site and conducting a DNS spoofing attack against a mozilla.org subdomain.

debian логотип

CVE-2015-0812

debian
около 10 лет назад

Mozilla Firefox before 37.0 does not require an HTTPS session for ligh ...

github логотип

GHSA-xp29-g429-j593

github
около 3 лет назад

Mozilla Firefox before 37.0 does not require an HTTPS session for lightweight theme add-on installations, which allows man-in-the-middle attackers to bypass an intended user-confirmation requirement by deploying a crafted web site and conducting a DNS spoofing attack against a mozilla.org subdomain.

EPSS

Процентиль: 39%
0.00169
Низкий

4.3 Medium

CVSS2