Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01269

Опубликовано: 26 мая 2020
Источник: fstec
CVSS3: 5.3
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость опции «Копировать как cURL» веб-браузеров Firefox ESR, Firefox, почтового клиента Thunderbird связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.
Canonical Ltd.
Novell Inc.
Mozilla Corp.
АО «Концерн ВНИИНС»
АО «ИВК»

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
OpenSUSE Leap
Firefox
Firefox ESR
Thunderbird
ОС ОН «Стрелец»
Альт 8 СП

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
8 (Red Hat Enterprise Linux)
15.1 (OpenSUSE Leap)
19.10 (Ubuntu)
8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
20.04 LTS (Ubuntu)
8.1 Extended Update Support (Red Hat Enterprise Linux)
до 76 (Firefox)
до 68.8.0 (Firefox ESR)
до 68.8.0 (Thunderbird)
1.0 (ОС ОН «Стрелец»)
- (Альт 8 СП)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.1
Canonical Ltd. Ubuntu 19.10
Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions
Canonical Ltd. Ubuntu 20.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0
АО «ИВК» Альт 8 СП -
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/security/advisories/mfsa2020-16/
https://www.mozilla.org/security/advisories/mfsa2020-17/
https://www.mozilla.org/security/advisories/mfsa2020-18/
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00021.html
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00024.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-12392
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»:
Обновление программного обеспечения firefox-esr до версии 91.13.0esr+repack-1~deb10u1.osnova1.strelets
Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 34%
0.00136
Низкий

5.3 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-12392

CVSS3: 5.5
ubuntu
больше 5 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP POST data of a request, which can be controlled by the website. If a user used the 'Copy as cURL' feature and pasted the command into a terminal, it could have resulted in the disclosure of local files. This vulnerability affects Firefox ESR < 68.8, Firefox < 76, and Thunderbird < 68.8.0.

redhat логотип

CVE-2020-12392

CVSS3: 6.1
redhat
почти 6 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP POST data of a request, which can be controlled by the website. If a user used the 'Copy as cURL' feature and pasted the command into a terminal, it could have resulted in the disclosure of local files. This vulnerability affects Firefox ESR < 68.8, Firefox < 76, and Thunderbird < 68.8.0.

nvd логотип

CVE-2020-12392

CVSS3: 5.5
nvd
больше 5 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP POST data of a request, which can be controlled by the website. If a user used the 'Copy as cURL' feature and pasted the command into a terminal, it could have resulted in the disclosure of local files. This vulnerability affects Firefox ESR < 68.8, Firefox < 76, and Thunderbird < 68.8.0.

debian логотип

CVE-2020-12392

CVSS3: 5.5
debian
больше 5 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly e ...

github логотип

GHSA-f75r-qhf4-x3wr

CVSS3: 5.5
github
больше 3 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP POST data of a request, which can be controlled by the website. If a user used the 'Copy as cURL' feature and pasted the command into a terminal, it could have resulted in the disclosure of local files. This vulnerability affects Firefox ESR < 68.8, Firefox < 76, and Thunderbird < 68.8.0.

EPSS

Процентиль: 34%
0.00136
Низкий

5.3 Medium

CVSS3

4.6 Medium

CVSS2