Уязвимость повышения уровня доступа с использованием WebExtensions через API mozAddonManager в Mozilla Firefox
Описание
Обнаружена уязвимость, в которой WebExtensions могут использовать API mozAddonManager для повышения уровня доступа. Это становится возможным из-за того, что привилегированные страницы допускаются в списке разрешений. В результате, вредоносное расширение способно устанавливать дополнительные расширения без явного разрешения со стороны пользователя.
Затронутые версии ПО
Mozilla Firefox версии ниже 50
Тип уязвимости
Повышение уровня доступа
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingVendor Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
Связанные уязвимости
An issue where WebExtensions can use the mozAddonManager API to elevate privilege due to privileged pages being allowed in the permissions list. This allows a malicious extension to then install additional extensions without explicit user permission. This vulnerability affects Firefox < 50.
An issue where WebExtensions can use the mozAddonManager API to elevate privilege due to privileged pages being allowed in the permissions list. This allows a malicious extension to then install additional extensions without explicit user permission. This vulnerability affects Firefox < 50.
An issue where WebExtensions can use the mozAddonManager API to elevat ...
An issue where WebExtensions can use the mozAddonManager API to elevate privilege due to privileged pages being allowed in the permissions list. This allows a malicious extension to then install additional extensions without explicit user permission. This vulnerability affects Firefox < 50.
EPSS
9.8 Critical
CVSS3
7.5 High
CVSS2