Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-5386

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Уязвимость утечки информации и повышения уровня доступа через WebExtension в Mozilla Firefox

Описание

WebExtension-скрипты могут использовать протокол data: для воздействия на страницы, загруженные другими веб-расширениями, использующими этот протокол. Это может привести к потенциальной утечке данных или повышению уровня доступа в уязвимых расширениях.

Затронутые версии ПО

  • Firefox ESR версий ниже 45.7
  • Firefox версий ниже 51

Тип уязвимости

  • Утечка данных
  • Повышение уровня доступа

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:o:redhat:enterprise_linux:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
Конфигурация 3
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 51.0 (исключая)
Конфигурация 4
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 45.7.0 (исключая)

EPSS

Процентиль: 78%
0.01186
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

ubuntu логотип

CVE-2017-5386

CVSS3: 7.3
ubuntu
больше 7 лет назад

WebExtension scripts can use the "data:" protocol to affect pages loaded by other web extensions using this protocol, leading to potential data disclosure or privilege escalation in affected extensions. This vulnerability affects Firefox ESR < 45.7 and Firefox < 51.

redhat логотип

CVE-2017-5386

CVSS3: 7.3
redhat
почти 9 лет назад

WebExtension scripts can use the "data:" protocol to affect pages loaded by other web extensions using this protocol, leading to potential data disclosure or privilege escalation in affected extensions. This vulnerability affects Firefox ESR < 45.7 and Firefox < 51.

debian логотип

CVE-2017-5386

CVSS3: 7.3
debian
больше 7 лет назад

WebExtension scripts can use the "data:" protocol to affect pages load ...

github логотип

GHSA-mjv5-g7c5-w9hq

CVSS3: 7.3
github
больше 3 лет назад

WebExtension scripts can use the "data:" protocol to affect pages loaded by other web extensions using this protocol, leading to potential data disclosure or privilege escalation in affected extensions. This vulnerability affects Firefox ESR < 45.7 and Firefox < 51.

suse-cvrf логотип

SUSE-SU-2017:0427-1

suse-cvrf
почти 9 лет назад

Security update for MozillaFirefox

EPSS

Процентиль: 78%
0.01186
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Дефекты

NVD-CWE-noinfo