Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-12397

Опубликовано: 28 фев. 2019
Источник: nvd
CVSS3: 7.1
CVSS2: 3.6
EPSS Низкий

Уязвимость некорректного отображения предупреждений при доступе WebExtension к локальным файлам в Mozilla Firefox

Описание

Злоумышленник может использовать WebExtension для запроса доступа к локальным файлам без отображения предупреждения пользователю, что расширение "Получит доступ к вашим данным для всех веб-сайтов". Это позволяет расширениям запускать контентные скрипты на локальных страницах без предупреждений о разрешениях при открытии локального файла.

Затронутые версии ПО

  • Firefox ESR версии ниже 60.3
  • Firefox версии ниже 63

Тип уязвимости

Подмена предупреждений о разрешениях

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 63.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 60.3.0 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.10:*:*:*:*:*:*:*

EPSS

Процентиль: 26%
0.00085
Низкий

7.1 High

CVSS3

3.6 Low

CVSS2

Дефекты

CWE-200

Связанные уязвимости

ubuntu логотип

CVE-2018-12397

CVSS3: 7.1
ubuntu
больше 6 лет назад

A WebExtension can request access to local files without the warning prompt stating that the extension will "Access your data for all websites" being displayed to the user. This allows extensions to run content scripts in local pages without permission warnings when a local file is opened. This vulnerability affects Firefox ESR < 60.3 and Firefox < 63.

redhat логотип

CVE-2018-12397

CVSS3: 7.1
redhat
почти 7 лет назад

A WebExtension can request access to local files without the warning prompt stating that the extension will "Access your data for all websites" being displayed to the user. This allows extensions to run content scripts in local pages without permission warnings when a local file is opened. This vulnerability affects Firefox ESR < 60.3 and Firefox < 63.

debian логотип

CVE-2018-12397

CVSS3: 7.1
debian
больше 6 лет назад

A WebExtension can request access to local files without the warning p ...

github логотип

GHSA-xxh5-92qj-c4gh

CVSS3: 7.1
github
около 3 лет назад

A WebExtension can request access to local files without the warning prompt stating that the extension will "Access your data for all websites" being displayed to the user. This allows extensions to run content scripts in local pages without permission warnings when a local file is opened. This vulnerability affects Firefox ESR < 60.3 and Firefox < 63.

fstec логотип

BDU:2019-04300

CVSS3: 7.1
fstec
почти 7 лет назад

Уязвимость системы для разработки дополнений WebExtensions браузеров Firefox, Firefox ESR, позволяющая нарушителю получить несанкционированный доступ к локальным файлам

EPSS

Процентиль: 26%
0.00085
Низкий

7.1 High

CVSS3

3.6 Low

CVSS2

Дефекты

CWE-200