CVE-2015-4505

Опубликовано: 24 сент. 2015

Источник: nvd

CVSS2: 6.6

EPSS Низкий

Уязвимость записи в произвольные файлы в Mozilla Firefox и Firefox ESR на Windows через атаку на соединение

Описание

Уязвимость в файле updater.exe в Mozilla Firefox до версии 41.0 и Firefox ESR 38.x до версии 38.3 на Windows позволяет авторизованным пользователям записывать данные в произвольные файлы, проводя атаку на соединение и ожидая выполнения операции обновления службой обновления Mozilla.

Затронутые версии ПО

Mozilla Firefox версии до 41.0
Firefox ESR 38.x до версии 38.3

Тип уязвимости

Запись в произвольные файлы

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:mozilla:firefox:38.0:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:38.0.1:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:38.0.5:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:38.1.0:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:38.1.1:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:38.2.0:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:38.2.1:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows:*:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 40.0.3 (включая)

cpe:2.3:o:microsoft:windows:*:*:*:*:*:*:*:*

EPSS

Процентиль: 14%

0.00047

Низкий

6.6 Medium

CVSS2

Дефекты

CWE-264

Связанные уязвимости

CVE-2015-4505

ubuntu

почти 10 лет назад

updater.exe in Mozilla Firefox before 41.0 and Firefox ESR 38.x before 38.3 on Windows allows local users to write to arbitrary files by conducting a junction attack and waiting for an update operation by the Mozilla Maintenance Service.