Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-12386

Опубликовано: 18 окт. 2018
Источник: nvd
CVSS3: 8.1
CVSS2: 5.8
EPSS Средний

Уязвимость путаницы типов в распределении регистров в JavaScript, позволяющая удалённое выполнение кода в Firefox

Описание

Уязвимость в распределении регистров в JavaScript может привести к путанице типов (type confusion), что допускает произвольное чтение и запись данных. Это, в свою очередь, ведет к возможности удалённого выполнения кода внутри изолированного (sandboxed) процесса содержимого при активации.

Затронутые версии ПО

  • Firefox ESR до версии 60.2.2
  • Firefox до версии 62.0.3

Тип уязвимости

  • Удалённое выполнение кода
  • Путаница типов (type confusion)

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_tus:7.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
Конфигурация 2
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 62.0.3 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 60.2.2 (исключая)

EPSS

Процентиль: 97%
0.42072
Средний

8.1 High

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-704

Связанные уязвимости

ubuntu логотип

CVE-2018-12386

CVSS3: 8.1
ubuntu
почти 7 лет назад

A vulnerability in register allocation in JavaScript can lead to type confusion, allowing for an arbitrary read and write. This leads to remote code execution inside the sandboxed content process when triggered. This vulnerability affects Firefox ESR < 60.2.2 and Firefox < 62.0.3.

redhat логотип

CVE-2018-12386

CVSS3: 8.8
redhat
почти 7 лет назад

A vulnerability in register allocation in JavaScript can lead to type confusion, allowing for an arbitrary read and write. This leads to remote code execution inside the sandboxed content process when triggered. This vulnerability affects Firefox ESR < 60.2.2 and Firefox < 62.0.3.

debian логотип

CVE-2018-12386

CVSS3: 8.1
debian
почти 7 лет назад

A vulnerability in register allocation in JavaScript can lead to type ...

github логотип

GHSA-5vgc-hmw3-287j

CVSS3: 8.1
github
около 3 лет назад

A vulnerability in register allocation in JavaScript can lead to type confusion, allowing for an arbitrary read and write. This leads to remote code execution inside the sandboxed content process when triggered. This vulnerability affects Firefox ESR < 60.2.2 and Firefox < 62.0.3.

fstec логотип

BDU:2019-03414

CVSS3: 8.1
fstec
почти 7 лет назад

Уязвимость веб-браузеров Firefox, Firefox ESR, связанная с ошибками преобразования типов данных, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 97%
0.42072
Средний

8.1 High

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-704