CVE-2008-4068

Опубликовано: 24 сент. 2008

Источник: nvd

CVSS2: 7.8

EPSS Низкий

Уязвимость обхода ограничений при работе с локальными HTML-файлами в Mozilla Firefox, Thunderbird и SeaMonkey

Описание

Эта уязвимость связана с возможностью злоумышленников обходить ограничения, наложенные на локальные HTML-файлы, в браузерах Mozilla Firefox до версий 2.0.0.17 и 3.x до 3.0.2, Thunderbird до 2.0.0.17 и SeaMonkey до 1.1.12. Используя последовательности обхода каталогов (directory traversal) в URI ресурсов, злоумышленник способен получить конфиденциальную информацию и побудить пользователей записать эту информацию в файл.

Затронутые версии ПО

Mozilla Firefox до версии 2.0.0.17 и версии 3.x до 3.0.2
Thunderbird до версии 2.0.0.17
SeaMonkey до версии 1.1.12

Тип уязвимости

Подмена и обход ограничений безопасности
Утечка информации

Ссылки

http://download.novell.com/Download?buildid=WZXONb-tqBw~
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2008-10/msg00005.html
Third Party Advisory
http://secunia.com/advisories/31984
Third Party Advisory
http://secunia.com/advisories/31985
Third Party Advisory
http://secunia.com/advisories/31987
Third Party Advisory
http://secunia.com/advisories/32007
Third Party Advisory
http://secunia.com/advisories/32010
Third Party Advisory
http://secunia.com/advisories/32011
Third Party Advisory
http://secunia.com/advisories/32012
Third Party Advisory
http://secunia.com/advisories/32025
Third Party Advisory
http://secunia.com/advisories/32042
Third Party Advisory
http://secunia.com/advisories/32044
Third Party Advisory
http://secunia.com/advisories/32082
Third Party Advisory
http://secunia.com/advisories/32089
Third Party Advisory
http://secunia.com/advisories/32092
Third Party Advisory
http://secunia.com/advisories/32095
Third Party Advisory
http://secunia.com/advisories/32096
Third Party Advisory
http://secunia.com/advisories/32144
Third Party Advisory
http://secunia.com/advisories/32185
Third Party Advisory
http://secunia.com/advisories/32196
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 2.0.0.17 (исключая)

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия от 3.0 (включая) до 3.0.2 (исключая)

cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*

Версия до 1.1.12 (исключая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 2.0.0.17 (исключая)

Конфигурация 2

cpe:2.3:o:debian:debian_linux:4.0:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:o:canonical:ubuntu_linux:6.06:*:*:*:lts:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:7.04:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:7.10:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:8.04:*:*:*:lts:*:*:*

EPSS

Процентиль: 39%

0.0017

Низкий

7.8 High

CVSS2

Дефекты

CWE-22

Связанные уязвимости

CVE-2008-4068

ubuntu

почти 17 лет назад

Directory traversal vulnerability in Mozilla Firefox before 2.0.0.17 and 3.x before 3.0.2, Thunderbird before 2.0.0.17, and SeaMonkey before 1.1.12 allows remote attackers to bypass "restrictions imposed on local HTML files," and obtain sensitive information and prompt users to write this information into a file, via directory traversal sequences in a resource: URI.