Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-5384

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 5.9
CVSS2: 4.3
EPSS Низкий

Уязвимость передачи избыточной информации через файлы автоматической конфигурации прокси в Mozilla Firefox

Описание

Файлы автоматической конфигурации прокси (PAC) могут содержать функцию JavaScript, вызываемую для всех URL-запросов с полным URL-путем, что передает больше информации, чем обычно отправляется самому прокси в случае использования HTTPS. Обычно файл автоматической конфигурации прокси указывается пользователем или владельцем устройства и считается безопасным, но если пользователь включил автоматическое определение веб-прокси (WPAD), этот файл может быть предоставлен удаленно.

Затронутые версии ПО

  • Mozilla Firefox версий до 51

Тип уязвимости

Утечка информации

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 51.0 (исключая)

EPSS

Процентиль: 73%
0.00764
Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-200

Связанные уязвимости

ubuntu логотип

CVE-2017-5384

CVSS3: 5.9
ubuntu
больше 7 лет назад

Proxy Auto-Config (PAC) files can specify a JavaScript function called for all URL requests with the full URL path which exposes more information than would be sent to the proxy itself in the case of HTTPS. Normally the Proxy Auto-Config file is specified by the user or machine owner and presumed to be non-malicious, but if a user has enabled Web Proxy Auto Detect (WPAD) this file can be served remotely. This vulnerability affects Firefox < 51.

debian логотип

CVE-2017-5384

CVSS3: 5.9
debian
больше 7 лет назад

Proxy Auto-Config (PAC) files can specify a JavaScript function called ...

github логотип

GHSA-4f25-w4cj-3v45

CVSS3: 5.9
github
больше 3 лет назад

Proxy Auto-Config (PAC) files can specify a JavaScript function called for all URL requests with the full URL path which exposes more information than would be sent to the proxy itself in the case of HTTPS. Normally the Proxy Auto-Config file is specified by the user or machine owner and presumed to be non-malicious, but if a user has enabled Web Proxy Auto Detect (WPAD) this file can be served remotely. This vulnerability affects Firefox < 51.

suse-cvrf логотип

openSUSE-SU-2017:0358-1

suse-cvrf
около 9 лет назад

Security update for MozillaFirefox

EPSS

Процентиль: 73%
0.00764
Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-200