Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2006-2894

Опубликовано: 07 июн. 2006
Источник: nvd
CVSS2: 4
EPSS Низкий

Возможность удалённого чтения произвольных файлов через обработку клавиатурных событий в Mozilla Firefox, Mozilla Suite, Mozilla SeaMonkey и Netscape

Описание

В браузерах Mozilla Firefox версий 1.5.0.4, 2.0.x до 2.0.0.8, Mozilla Suite версии 1.7.13, Mozilla SeaMonkey версии 1.0.2 и других версиях до 1.1.5, а также в Netscape версии 8.1 и раньше существует уязвимость. Злоумышленник может дистанционно прочитать произвольные файлы, если пользователь сам внесет символы названия целевого файла в текстовое поле. Используя события нажатия клавиш JavaScript (OnKeyDown, OnKeyPress и OnKeyUp), злоумышленник способен переместить фокус на элемент управления загрузкой файла, вследствие чего эти символы вставляются в него, и при отправке формы происходит загрузка файла.

Затронутые версии ПО

  • Mozilla Firefox 1.5.0.4
  • Mozilla Firefox 2.0.x до 2.0.0.8
  • Mozilla Suite 1.7.13
  • Mozilla SeaMonkey 1.0.2 и другие версии до 1.1.5
  • Netscape 8.1 и более ранние версии

Тип уязвимости

Удаленное чтение произвольных файлов

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 2.0.0.8 (включая)
cpe:2.3:a:mozilla:firefox:1.5.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:mozilla_suite:1.7.13:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*
Версия до 1.1.4 (включая)
cpe:2.3:a:mozilla:seamonkey:1.0.2:*:*:*:*:*:*:*
cpe:2.3:a:netscape:navigator:*:*:*:*:*:*:*:*
Версия до 8.1 (включая)

EPSS

Процентиль: 91%
0.06905
Низкий

4 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

ubuntu логотип

CVE-2006-2894

ubuntu
около 19 лет назад

Mozilla Firefox 1.5.0.4, 2.0.x before 2.0.0.8, Mozilla Suite 1.7.13, Mozilla SeaMonkey 1.0.2 and other versions before 1.1.5, and Netscape 8.1 and earlier allow user-assisted remote attackers to read arbitrary files by tricking a user into typing the characters of the target filename in a text box and using the OnKeyDown, OnKeyPress, and OnKeyUp Javascript keystroke events to change the focus and cause those characters to be inserted into a file upload input control, which can then upload the file when the user submits the form.

debian логотип

CVE-2006-2894

debian
около 19 лет назад

Mozilla Firefox 1.5.0.4, 2.0.x before 2.0.0.8, Mozilla Suite 1.7.13, M ...

github логотип

GHSA-gjhw-j84v-5cmv

github
больше 3 лет назад

Mozilla Firefox 1.5.0.4, 2.0.x before 2.0.0.8, Mozilla Suite 1.7.13, Mozilla SeaMonkey 1.0.2 and other versions before 1.1.5, and Netscape 8.1 and earlier allow user-assisted remote attackers to read arbitrary files by tricking a user into typing the characters of the target filename in a text box and using the OnKeyDown, OnKeyPress, and OnKeyUp Javascript keystroke events to change the focus and cause those characters to be inserted into a file upload input control, which can then upload the file when the user submits the form.

EPSS

Процентиль: 91%
0.06905
Низкий

4 Medium

CVSS2

Дефекты

CWE-20