Возможность указания произвольной целевой рабочей директории для выходных файлов в Mozilla Updater при выполнении обновлений на операционной системе Windows
Описание
Уязвимость в Mozilla Updater позволяет злоумышленнику указать произвольную целевую рабочую директорию для выходных файлов, возникающих в процессе обновления программного обеспечения. Для эксплуатации этой уязвимости требуется локальный доступ к системе. Обратите внимание, что эта проблема затрагивает только операционные системы Windows.
Затронутые версии ПО
- Thunderbird до версии 45.5
- Firefox ESR до версии 45.5
- Firefox до версии 50
Тип уязвимости
Подмена целевой директории
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- ExploitIssue TrackingVendor Advisory
- Third Party Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- ExploitIssue TrackingVendor Advisory
- Third Party Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одновременно
Одно из
EPSS
5.5 Medium
CVSS3
2.1 Low
CVSS2
Дефекты
Связанные уязвимости
The Mozilla Updater can be made to choose an arbitrary target working directory for output files resulting from the update process. This vulnerability requires local system access. Note: this issue only affects Windows operating systems. This vulnerability affects Thunderbird < 45.5, Firefox ESR < 45.5, and Firefox < 50.
The Mozilla Updater can be made to choose an arbitrary target working ...
The Mozilla Updater can be made to choose an arbitrary target working directory for output files resulting from the update process. This vulnerability requires local system access. Note: this issue only affects Windows operating systems. This vulnerability affects Thunderbird < 45.5, Firefox ESR < 45.5, and Firefox < 50.
EPSS
5.5 Medium
CVSS3
2.1 Low
CVSS2