Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2016-9064

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 5.9
CVSS2: 4.3
EPSS Низкий

Уязвимость некорректной проверки идентификатора дополнения при обновлении в Mozilla Firefox

Описание

В обновлениях дополнений не проводится корректная проверка, что идентификатор дополнения внутри подписанного пакета совпадает с идентификатором обновляемого дополнения. Злоумышленник, способный осуществить атаку "человек посередине" (man-in-the-middle) на соединение пользователя с сервером обновлений и обойти защиту привязки сертификатов, может предоставить вредоносное подписанное дополнение вместо корректного обновления.

Затронутые версии ПО

  • Firefox ESR < 45.5
  • Firefox < 50

Тип уязвимости

Подмена дополнения

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 50.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 45.5.0 (исключая)

EPSS

Процентиль: 50%
0.00274
Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-295

Связанные уязвимости

ubuntu логотип

CVE-2016-9064

CVSS3: 5.9
ubuntu
около 7 лет назад

Add-on updates failed to verify that the add-on ID inside the signed package matched the ID of the add-on being updated. An attacker who could perform a man-in-the-middle attack on the user's connection to the update server and defeat the certificate pinning protection could provide a malicious signed add-on instead of a valid update. This vulnerability affects Firefox ESR < 45.5 and Firefox < 50.

redhat логотип

CVE-2016-9064

CVSS3: 5.3
redhat
почти 9 лет назад

Add-on updates failed to verify that the add-on ID inside the signed package matched the ID of the add-on being updated. An attacker who could perform a man-in-the-middle attack on the user's connection to the update server and defeat the certificate pinning protection could provide a malicious signed add-on instead of a valid update. This vulnerability affects Firefox ESR < 45.5 and Firefox < 50.

debian логотип

CVE-2016-9064

CVSS3: 5.9
debian
около 7 лет назад

Add-on updates failed to verify that the add-on ID inside the signed p ...

github логотип

GHSA-pc4v-68rv-24q5

CVSS3: 5.9
github
больше 3 лет назад

Add-on updates failed to verify that the add-on ID inside the signed package matched the ID of the add-on being updated. An attacker who could perform a man-in-the-middle attack on the user's connection to the update server and defeat the certificate pinning protection could provide a malicious signed add-on instead of a valid update. This vulnerability affects Firefox ESR < 45.5 and Firefox < 50.

oracle-oval логотип

ELSA-2016-2780

oracle-oval
почти 9 лет назад

ELSA-2016-2780: firefox security update (CRITICAL)

EPSS

Процентиль: 50%
0.00274
Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-295