Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-5173

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Уязвимость подмены имени файла в панели загрузок Mozilla Firefox, позволяющая скрыть расширение потенциально выполняемых файлов

Описание

Некорректное отображение некоторых Unicode символов в имени файла, указанного в панели "Загрузок", позволяет злоумышленнику подменить имя файла. Это может использоваться для скрытия расширения потенциально выполняемых файлов от пользователя в панели "Загрузок".

Обратите внимание: в диалоге открытия файла будет отображено полное, корректное имя файла и указано, является ли он выполняемым.

Затронутые версии ПО

  • Firefox версии ниже 60

Тип уязвимости

Подмена информации

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:17.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
Конфигурация 2
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 60.0 (исключая)

EPSS

Процентиль: 77%
0.01028
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

ubuntu логотип

CVE-2018-5173

CVSS3: 5.3
ubuntu
больше 7 лет назад

The filename appearing in the "Downloads" panel improperly renders some Unicode characters, allowing for the file name to be spoofed. This can be used to obscure the file extension of potentially executable files from user view in the panel. Note: the dialog to open the file will show the full, correct filename and whether it is executable or not. This vulnerability affects Firefox < 60.

redhat логотип

CVE-2018-5173

CVSS3: 6.1
redhat
больше 7 лет назад

The filename appearing in the "Downloads" panel improperly renders some Unicode characters, allowing for the file name to be spoofed. This can be used to obscure the file extension of potentially executable files from user view in the panel. Note: the dialog to open the file will show the full, correct filename and whether it is executable or not. This vulnerability affects Firefox < 60.

debian логотип

CVE-2018-5173

CVSS3: 5.3
debian
больше 7 лет назад

The filename appearing in the "Downloads" panel improperly renders som ...

github логотип

GHSA-hg6x-mmgv-6qvx

CVSS3: 5.3
github
больше 3 лет назад

The filename appearing in the "Downloads" panel improperly renders some Unicode characters, allowing for the file name to be spoofed. This can be used to obscure the file extension of potentially executable files from user view in the panel. Note: the dialog to open the file will show the full, correct filename and whether it is executable or not. This vulnerability affects Firefox < 60.

fstec логотип

BDU:2019-03513

CVSS3: 6.5
fstec
около 7 лет назад

Уязвимость браузера Firefox, вызванная ошибками отображения символов в именах файлов во вкладке «Загрузки», позволяющая нарушителю проводить спуфинг-атаки

EPSS

Процентиль: 77%
0.01028
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-20