Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2013-0764

Опубликовано: 13 янв. 2013
Источник: nvd
CVSS2: 9.3
EPSS Низкий

Уязвимость в функции nsSOCKSSocketInfo::ConnectToProxy в Mozilla Firefox, Thunderbird и SeaMonkey, позволяющая выполнять произвольный код через специально сформированные данные

Описание

Функция nsSOCKSSocketInfo::ConnectToProxy в браузерах Mozilla Firefox до версии 18.0, Firefox ESR 17.x до версии 17.0.2, Thunderbird до версии 17.0.2, Thunderbird ESR 17.x до версии 17.0.2 и SeaMonkey до версии 2.15 некорректно обеспечивает безопасное использование потоков для SSL-сессий. Это позволяет удалённым злоумышленникам выполнить произвольный код с помощью специально сформированных данных, таких как содержимое электронных писем.

Затронутые версии ПО

  • Mozilla Firefox до версии 18.0
  • Mozilla Firefox ESR 17.x до версии 17.0.2
  • Mozilla Thunderbird до версии 17.0.2
  • Mozilla Thunderbird ESR 17.x до версии 17.0.2
  • SeaMonkey до версии 2.15

Тип уязвимости

Удалённое выполнение кода

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 17.0.3 (исключая)
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 19.0 (исключая)
cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*
Версия до 2.16 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 17.0.3 (исключая)
cpe:2.3:a:mozilla:thunderbird_esr:*:*:*:*:*:*:*:*
Версия до 17.0.3 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:12.1:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:12.2:*:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_desktop:10:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_desktop:11:sp2:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:-:*:*
cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:vmware:*:*
cpe:2.3:o:suse:linux_enterprise_software_development_kit:11:sp2:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:*

EPSS

Процентиль: 81%
0.01497
Низкий

9.3 Critical

CVSS2

Дефекты

CWE-326

Связанные уязвимости

ubuntu логотип

CVE-2013-0764

ubuntu
около 13 лет назад

The nsSOCKSSocketInfo::ConnectToProxy function in Mozilla Firefox before 18.0, Firefox ESR 17.x before 17.0.2, Thunderbird before 17.0.2, Thunderbird ESR 17.x before 17.0.2, and SeaMonkey before 2.15 does not ensure thread safety for SSL sessions, which allows remote attackers to execute arbitrary code via crafted data, as demonstrated by e-mail message data.

redhat логотип

CVE-2013-0764

redhat
около 13 лет назад

The nsSOCKSSocketInfo::ConnectToProxy function in Mozilla Firefox before 18.0, Firefox ESR 17.x before 17.0.2, Thunderbird before 17.0.2, Thunderbird ESR 17.x before 17.0.2, and SeaMonkey before 2.15 does not ensure thread safety for SSL sessions, which allows remote attackers to execute arbitrary code via crafted data, as demonstrated by e-mail message data.

debian логотип

CVE-2013-0764

debian
около 13 лет назад

The nsSOCKSSocketInfo::ConnectToProxy function in Mozilla Firefox befo ...

github логотип

GHSA-x66h-pv23-hvpj

github
больше 3 лет назад

The nsSOCKSSocketInfo::ConnectToProxy function in Mozilla Firefox before 18.0, Firefox ESR 17.x before 17.0.2, Thunderbird before 17.0.2, Thunderbird ESR 17.x before 17.0.2, and SeaMonkey before 2.15 does not ensure thread safety for SSL sessions, which allows remote attackers to execute arbitrary code via crafted data, as demonstrated by e-mail message data.

EPSS

Процентиль: 81%
0.01497
Низкий

9.3 Critical

CVSS2

Дефекты

CWE-326