Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2009-1839

Опубликовано: 12 июн. 2009
Источник: nvd
CVSS2: 5.4
EPSS Средний

Уязвимость обхода ограничений доступа и чтения файлов через специально созданный HTML-документ в Mozilla Firefox

Описание

Уязвимость в Mozilla Firefox 3 до версии 3.0.11 связана с некорректным присвоением основного объекта principal файлу: URL, загруженному через адресную строку. Это позволяет злоумышленникам при помощи пользователя обойти запланированные ограничения доступа и прочитать файлы через специально созданный HTML-документ. Данная уязвимость также известна как атака "file-URL-to-file-URL scripting".

Затронутые версии ПО

  • Mozilla Firefox 3 до версии 3.0.11

Тип уязвимости

  • Обход ограничений доступа
  • Чтение файлов

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 3.0.10 (включая)
cpe:2.3:a:mozilla:firefox:3.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0:alpha:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0:beta2:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0:beta5:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.8:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0.9:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.0beta5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:3.1:beta1:*:*:*:*:*:*

EPSS

Процентиль: 94%
0.15161
Средний

5.4 Medium

CVSS2

Дефекты

CWE-264

Связанные уязвимости

ubuntu логотип

CVE-2009-1839

ubuntu
около 16 лет назад

Mozilla Firefox 3 before 3.0.11 associates an incorrect principal with a file: URL loaded through the location bar, which allows user-assisted remote attackers to bypass intended access restrictions and read files via a crafted HTML document, aka a "file-URL-to-file-URL scripting" attack.

redhat логотип

CVE-2009-1839

redhat
около 16 лет назад

Mozilla Firefox 3 before 3.0.11 associates an incorrect principal with a file: URL loaded through the location bar, which allows user-assisted remote attackers to bypass intended access restrictions and read files via a crafted HTML document, aka a "file-URL-to-file-URL scripting" attack.

debian логотип

CVE-2009-1839

debian
около 16 лет назад

Mozilla Firefox 3 before 3.0.11 associates an incorrect principal with ...

github логотип

GHSA-mx4x-6484-3f7v

github
около 3 лет назад

Mozilla Firefox 3 before 3.0.11 associates an incorrect principal with a file: URL loaded through the location bar, which allows user-assisted remote attackers to bypass intended access restrictions and read files via a crafted HTML document, aka a "file-URL-to-file-URL scripting" attack.

oracle-oval логотип

ELSA-2009-1095

oracle-oval
около 16 лет назад

ELSA-2009-1095: firefox security update (CRITICAL)

EPSS

Процентиль: 94%
0.15161
Средний

5.4 Medium

CVSS2

Дефекты

CWE-264