Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2016-5284

Опубликовано: 22 сент. 2016
Источник: nvd
CVSS3: 7.4
CVSS2: 4.3
EPSS Низкий

Уязвимость спуфинга обновлений дополнений в Mozilla Firefox и Thunderbird через некорректное использование сроков действия для механизма Preloaded Public Key Pinning

Описание

В версиях Mozilla Firefox до 49.0, Firefox ESR 45.x до 45.4 и Thunderbird менее 45.4 используется некорректные сроки действия для механизма Preloaded Public Key Pinning. Это позволяет злоумышленникам выполнить спуфинг обновлений дополнений, используя X.509 серверный сертификат для addons.mozilla.org, подписанный произвольным встроенным сертификационным центром.

Затронутые версии ПО

  • Mozilla Firefox до версии 49.0
  • Firefox ESR 45.x до версии 45.4
  • Thunderbird менее версии 45.4

Тип уязвимости

Спуфинг

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 48.0.2 (включая)
cpe:2.3:a:mozilla:firefox:45.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:45.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:45.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:45.1.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:45.2.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:45.3.0:*:*:*:*:*:*:*

EPSS

Процентиль: 63%
0.00462
Низкий

7.4 High

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

ubuntu логотип

CVE-2016-5284

CVSS3: 7.4
ubuntu
почти 9 лет назад

Mozilla Firefox before 49.0, Firefox ESR 45.x before 45.4, and Thunderbird < 45.4 rely on unintended expiration dates for Preloaded Public Key Pinning, which allows man-in-the-middle attackers to spoof add-on updates by leveraging possession of an X.509 server certificate for addons.mozilla.org signed by an arbitrary built-in Certification Authority.

redhat логотип

CVE-2016-5284

CVSS3: 7.4
redhat
почти 9 лет назад

Mozilla Firefox before 49.0, Firefox ESR 45.x before 45.4, and Thunderbird < 45.4 rely on unintended expiration dates for Preloaded Public Key Pinning, which allows man-in-the-middle attackers to spoof add-on updates by leveraging possession of an X.509 server certificate for addons.mozilla.org signed by an arbitrary built-in Certification Authority.

debian логотип

CVE-2016-5284

CVSS3: 7.4
debian
почти 9 лет назад

Mozilla Firefox before 49.0, Firefox ESR 45.x before 45.4, and Thunder ...

github логотип

GHSA-2fqh-hxv3-hqmx

CVSS3: 7.4
github
больше 3 лет назад

Mozilla Firefox before 49.0, Firefox ESR 45.x before 45.4, and Thunderbird < 45.4 rely on unintended expiration dates for Preloaded Public Key Pinning, which allows man-in-the-middle attackers to spoof add-on updates by leveraging possession of an X.509 server certificate for addons.mozilla.org signed by an arbitrary built-in Certification Authority.

fstec логотип

BDU:2021-04197

CVSS3: 7.4
fstec
почти 9 лет назад

Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю подделывать обновления надстроек

EPSS

Процентиль: 63%
0.00462
Низкий

7.4 High

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-20