Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2006-2784

Опубликовано: 02 июн. 2006
Источник: nvd
CVSS2: 5.1
EPSS Низкий

Уязвимость удаленного выполнения кода через PLUGINSPAGE в Mozilla Firefox до версии 1.5.0.4

Описание

Функциональность PLUGINSPAGE в Mozilla Firefox до версии 1.5.0.4 позволяет злоумышленникам при помощи действий пользователя выполнять привилегированный код. Это происходит за счет обмана пользователя при установке недостающих плагинов и нажатии кнопки "Manual Install" ("Ручная установка"), после чего применяются вложенные javascript: URL. Стоит отметить, что кнопка "Manual Install" используется для загрузки программного обеспечения с удаленного веб-сайта, и данная проблема не пересекает границы привилегий, если пользователь продолжит установку вредоносного ПО с сайта, контролируемого злоумышленником.

Затронутые версии ПО

  • Mozilla Firefox до версии 1.5.0.4

Тип уязвимости

  • Удалённое выполнение кода

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 1.5.0.3 (включая)

EPSS

Процентиль: 88%
0.03983
Низкий

5.1 Medium

CVSS2

Дефекты

CWE-264

Связанные уязвимости

ubuntu логотип

CVE-2006-2784

ubuntu
около 19 лет назад

The PLUGINSPAGE functionality in Mozilla Firefox before 1.5.0.4 allows remote user-assisted attackers to execute privileged code by tricking a user into installing missing plugins and selecting the "Manual Install" button, then using nested javascript: URLs. NOTE: the manual install button is used for downloading software from a remote web site, so this issue would not cross privilege boundaries if the user progresses to the point of installing malicious software from the attacker-controlled site.

redhat логотип

CVE-2006-2784

redhat
около 19 лет назад

The PLUGINSPAGE functionality in Mozilla Firefox before 1.5.0.4 allows remote user-assisted attackers to execute privileged code by tricking a user into installing missing plugins and selecting the "Manual Install" button, then using nested javascript: URLs. NOTE: the manual install button is used for downloading software from a remote web site, so this issue would not cross privilege boundaries if the user progresses to the point of installing malicious software from the attacker-controlled site.

debian логотип

CVE-2006-2784

debian
около 19 лет назад

The PLUGINSPAGE functionality in Mozilla Firefox before 1.5.0.4 allows ...

github логотип

GHSA-hh4w-c577-5gx4

github
больше 3 лет назад

The PLUGINSPAGE functionality in Mozilla Firefox before 1.5.0.4 allows remote user-assisted attackers to execute privileged code by tricking a user into installing missing plugins and selecting the "Manual Install" button, then using nested javascript: URLs. NOTE: the manual install button is used for downloading software from a remote web site, so this issue would not cross privilege boundaries if the user progresses to the point of installing malicious software from the attacker-controlled site.

EPSS

Процентиль: 88%
0.03983
Низкий

5.1 Medium

CVSS2

Дефекты

CWE-264