Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-5454

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Уязвимость обхода защиты доступа к файловой системе с помощью диалогового окна выбора файла через относительные пути в Mozilla Thunderbird и Firefox

Описание

Существует уязвимость, позволяющая обойти механизмы защиты доступа к файловой системе в песочнице, используя диалоговое окно выбора файла для доступа к файлам, отличным от выбранных, через использование относительных путей. Эта уязвимость предоставляет доступ только для чтения к локальной файловой системе.

Затронутые версии ПО

  • Thunderbird версии ниже 52.1
  • Firefox ESR версии ниже 52.1
  • Firefox версии ниже 53

Тип уязвимости

Обход защиты доступа к файловой системе

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
Конфигурация 2
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 53.0 (исключая)
Конфигурация 3
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 52.1.0 (исключая)
Конфигурация 4
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 52.1.0 (исключая)

EPSS

Процентиль: 69%
0.00636
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-200

Связанные уязвимости

ubuntu логотип

CVE-2017-5454

CVSS3: 7.5
ubuntu
около 7 лет назад

A mechanism to bypass file system access protections in the sandbox to use the file picker to access different files than those selected in the file picker through the use of relative paths. This allows for read only access to the local file system. This vulnerability affects Thunderbird < 52.1, Firefox ESR < 52.1, and Firefox < 53.

redhat логотип

CVE-2017-5454

CVSS3: 7.5
redhat
больше 8 лет назад

A mechanism to bypass file system access protections in the sandbox to use the file picker to access different files than those selected in the file picker through the use of relative paths. This allows for read only access to the local file system. This vulnerability affects Thunderbird < 52.1, Firefox ESR < 52.1, and Firefox < 53.

debian логотип

CVE-2017-5454

CVSS3: 7.5
debian
около 7 лет назад

A mechanism to bypass file system access protections in the sandbox to ...

github логотип

GHSA-4v77-6pxw-9whf

CVSS3: 7.5
github
около 3 лет назад

A mechanism to bypass file system access protections in the sandbox to use the file picker to access different files than those selected in the file picker through the use of relative paths. This allows for read only access to the local file system. This vulnerability affects Thunderbird < 52.1, Firefox ESR < 52.1, and Firefox < 53.

fstec логотип

BDU:2020-05847

CVSS3: 7.5
fstec
больше 8 лет назад

Уязвимость функции PFileSystemRequestConstructor браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная c обходом защиты доступа к файловой системе в песочнице, позволяющая нарушителю получить доступ к защищаемой информации

EPSS

Процентиль: 69%
0.00636
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-200