Уязвимость удаления произвольного локального файла через Mozilla Maintenance Service на Windows
Описание
Злоумышленник может вызвать обновляющий модуль Mozilla для Windows, который позволяет удалять произвольные локальные файлы, передавая специальный путь через параметр обратного вызова с использованием службы обслуживания Mozilla, имеющей повышенный уровень доступа. Эта атака требует доступа к локальной системе и затрагивает только Windows. Другие операционные системы не подвержены этой уязвимости.
Затронутые версии ПО
- Firefox ESR версии до 45.8
- Firefox версии до 52
Тип уязвимости
Удаление произвольного файла
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- ExploitIssue Tracking
- Vendor Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- ExploitIssue Tracking
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одновременно
Одновременно
EPSS
5.5 Medium
CVSS3
3.6 Low
CVSS2
Дефекты
Связанные уязвимости
The Mozilla Windows updater can be called by a non-privileged user to delete an arbitrary local file by passing a special path to the callback parameter through the Mozilla Maintenance Service, which has privileged access. Note: This attack requires local system access and only affects Windows. Other operating systems are not affected. This vulnerability affects Firefox ESR < 45.8 and Firefox < 52.
The Mozilla Windows updater can be called by a non-privileged user to ...
The Mozilla Windows updater can be called by a non-privileged user to delete an arbitrary local file by passing a special path to the callback parameter through the Mozilla Maintenance Service, which has privileged access. Note: This attack requires local system access and only affects Windows. Other operating systems are not affected. This vulnerability affects Firefox ESR < 45.8 and Firefox < 52.
EPSS
5.5 Medium
CVSS3
3.6 Low
CVSS2