CVE-2012-4205

Опубликовано: 21 нояб. 2012

Источник: nvd

CVSS2: 6.8

EPSS Низкий

Уязвимость проведения CSRF атак и получения конфиденциальной информации в Mozilla Firefox, Thunderbird и SeaMonkey через неправильную обработку объектов XMLHttpRequest в песочницах

Описание

в Mozilla Firefox, Thunderbird и SeaMonkey обнаружена уязвимость, связанная с некорректной обработкой объектов XMLHttpRequest, создаваемых в песочницах. Вместо использования контекста песочницы этим объектам назначается контекст системного администратора. Это позволяет злоумышленникам проводить межсайтовые запросы от имени пользователя (CSRF атаки) или получать конфиденциальную информацию.

Затронутые версии ПО

Mozilla Firefox до версии 17.0
Thunderbird до версии 17.0
SeaMonkey до версии 2.14

Тип уязвимости

Межсайтовая подделка запроса (CSRF)
Утечка конфиденциальной информации

Ссылки

http://lists.opensuse.org/opensuse-security-announce/2012-11/msg00021.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2013-01/msg00022.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2012-11/msg00090.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2012-11/msg00092.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2012-11/msg00093.html
Mailing List
Third Party Advisory
http://secunia.com/advisories/51369
Broken Link
http://secunia.com/advisories/51370
Broken Link
http://secunia.com/advisories/51381
Broken Link
http://secunia.com/advisories/51434
Broken Link
http://secunia.com/advisories/51439
Broken Link
http://secunia.com/advisories/51440
Broken Link
http://www.mozilla.org/security/announce/2012/mfsa2012-97.html
Vendor Advisory
http://www.securityfocus.com/bid/56621
Third Party Advisory
VDB Entry
http://www.ubuntu.com/usn/USN-1636-1
Third Party Advisory
http://www.ubuntu.com/usn/USN-1638-1
Third Party Advisory
http://www.ubuntu.com/usn/USN-1638-2
Third Party Advisory
http://www.ubuntu.com/usn/USN-1638-3
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=779821
Issue Tracking
Vendor Advisory
https://exchange.xforce.ibmcloud.com/vulnerabilities/80175
Third Party Advisory
VDB Entry
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16965
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 17.0 (исключая)

cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*

Версия до 2.14 (исключая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 17.0 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:12.1:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:12.2:*:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_desktop:10:sp4:*:*:-:*:*:*

cpe:2.3:o:suse:linux_enterprise_desktop:11:sp2:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:-:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:-:*:*

cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:vmware:*:*

cpe:2.3:o:suse:linux_enterprise_software_development_kit:11:sp2:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_software_development_kit:11:sp3:*:*:*:*:*:*

EPSS

Процентиль: 74%

0.00795

Низкий

6.8 Medium

CVSS2

Дефекты

CWE-352

Связанные уязвимости

CVE-2012-4205

ubuntu

около 13 лет назад

Mozilla Firefox before 17.0, Thunderbird before 17.0, and SeaMonkey before 2.14 assign the system principal, rather than the sandbox principal, to XMLHttpRequest objects created in sandboxes, which allows remote attackers to conduct cross-site request forgery (CSRF) attacks or obtain sensitive information by leveraging a sandboxed add-on.

CVE-2012-4205

redhat

около 13 лет назад

CVE-2012-4205

debian

около 13 лет назад

Mozilla Firefox before 17.0, Thunderbird before 17.0, and SeaMonkey be ...

GHSA-mj3h-hrp4-mfr6

github

больше 3 лет назад

EPSS

Процентиль: 74%

0.00795

Низкий

6.8 Medium

CVSS2

Дефекты

CWE-352