CVE-2016-5291

Опубликовано: 11 июн. 2018

Источник: nvd

CVSS3: 5.5

CVSS2: 4.9

EPSS Низкий

Уязвимость обхода политики одного происхождения в Thunderbird и Firefox через локальные ярлыки

Описание

Обнаружена уязвимость обхода политики одного происхождения, которая позволяет загружать произвольное локальное содержимое с диска с использованием локальных ярлыков.

Затронутые версии ПО

Thunderbird версий ниже 45.5
Firefox ESR версий ниже 45.5
Firefox версий ниже 50

Тип уязвимости

Обход политики одного происхождения
Загрузка произвольного содержимого с диска

Ссылки

http://rhn.redhat.com/errata/RHSA-2016-2780.html
Third Party Advisory
http://www.securityfocus.com/bid/94336
Third Party Advisory
VDB Entry
http://www.securitytracker.com/id/1037298
Third Party Advisory
VDB Entry
https://bugzilla.mozilla.org/show_bug.cgi?id=1292159
Exploit
Issue Tracking
Vendor Advisory
https://security.gentoo.org/glsa/201701-15
Third Party Advisory
https://www.debian.org/security/2016/dsa-3730
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2016-89/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2016-90/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2016-93/
Vendor Advisory
http://rhn.redhat.com/errata/RHSA-2016-2780.html
Third Party Advisory
http://www.securityfocus.com/bid/94336
Third Party Advisory
VDB Entry
http://www.securitytracker.com/id/1037298
Third Party Advisory
VDB Entry
https://bugzilla.mozilla.org/show_bug.cgi?id=1292159
Exploit
Issue Tracking
Vendor Advisory
https://security.gentoo.org/glsa/201701-15
Third Party Advisory
https://www.debian.org/security/2016/dsa-3730
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2016-89/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2016-90/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2016-93/
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 50.0 (исключая)

cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*

Версия до 45.5.0 (исключая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 45.5.0 (исключая)

Конфигурация 2

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*

EPSS

Процентиль: 10%

0.00037

Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

CVE-2016-5291

CVSS3: 5.5

ubuntu

около 7 лет назад

A same-origin policy bypass with local shortcut files to load arbitrary local content from disk. This vulnerability affects Thunderbird < 45.5, Firefox ESR < 45.5, and Firefox < 50.

CVE-2016-5291

CVSS3: 6.1

redhat

почти 9 лет назад

A same-origin policy bypass with local shortcut files to load arbitrary local content from disk. This vulnerability affects Thunderbird < 45.5, Firefox ESR < 45.5, and Firefox < 50.

CVE-2016-5291

CVSS3: 5.5

debian

около 7 лет назад

A same-origin policy bypass with local shortcut files to load arbitrar ...

GHSA-5rpq-63gx-j9m8

CVSS3: 5.5

github

больше 3 лет назад

A same-origin policy bypass with local shortcut files to load arbitrary local content from disk. This vulnerability affects Thunderbird < 45.5, Firefox ESR < 45.5, and Firefox < 50.

ELSA-2016-2780

oracle-oval

почти 9 лет назад

ELSA-2016-2780: firefox security update (CRITICAL)

EPSS

Процентиль: 10%

0.00037

Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Дефекты

CWE-20