Уязвимость внедрения аргументов в Mozilla Firefox до версии 2.0.0.5, позволяющая выполнять произвольные команды через URI mailto
Описание
Уязвимость внедрения аргументов в браузере Mozilla Firefox версий до 2.0.0.5 позволяет злоумышленникам выполнять произвольные команды. Это происходит в ситуациях, когда Firefox работает на системах с установленным почтовым клиентом Thunderbird версии 1.5, и зарегистрированы определённые URI. При этом метасимволы оболочки в URI mailto могут быть вставлены в командную строку, создаваемую при вызове Thunderbird.exe. Это позволяет злоумышленникам проводить межбраузерные сценарии атак и выполнять произвольные команды. Данная уязвимость аналогична CVE-2007-3670.
Затронутые версии ПО
- Mozilla Firefox до версии 2.0.0.5
- Thunderbird версии 1.5
Тип уязвимости
- Выполнение произвольных команд
- Межбраузерные атаки
Ссылки
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Argument injection vulnerability in Mozilla Firefox before 2.0.0.5, when running on systems with Thunderbird 1.5 installed and certain URIs registered, allows remote attackers to conduct cross-browser scripting attacks and execute arbitrary commands via shell metacharacters in a mailto URI, which are inserted into the command line that is created when invoking Thunderbird.exe, a similar issue to CVE-2007-3670.
Argument injection vulnerability in Mozilla Firefox before 2.0.0.5, wh ...
Argument injection vulnerability in Mozilla Firefox before 2.0.0.5, when running on systems with Thunderbird 1.5 installed and certain URIs registered, allows remote attackers to conduct cross-browser scripting attacks and execute arbitrary commands via shell metacharacters in a mailto URI, which are inserted into the command line that is created when invoking Thunderbird.exe, a similar issue to CVE-2007-3670.
EPSS
4.3 Medium
CVSS2