Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-5182

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Уязвимость некорректной обработки файлового пути в адресной строке в Firefox

Описание

Уязвимость затрагивает обработку файлового пути в адресной строке браузера Firefox. Когда строка, представляющая имя файла в формате операционной системы, перетаскивается в адресную строку, открывается соответствующий локальный файл. Это противоречит политике безопасности и эквивалентно тому, что произошло бы, если бы строка была эквивалентным URL типа file:.

Затронутые версии ПО

  • Mozilla Firefox версии 59 и ниже

Тип уязвимости

Нарушение политики безопасности

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:17.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
Конфигурация 2
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 60.0 (исключая)

EPSS

Процентиль: 77%
0.01014
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-200

Связанные уязвимости

ubuntu логотип

CVE-2018-5182

CVSS3: 7.5
ubuntu
больше 7 лет назад

If a text string that happens to be a filename in the operating system's native format is dragged and dropped onto the addressbar the specified local file will be opened. This is contrary to policy and is what would happen if the string were the equivalent "file:" URL. This vulnerability affects Firefox < 60.

redhat логотип

CVE-2018-5182

CVSS3: 7.5
redhat
больше 7 лет назад

If a text string that happens to be a filename in the operating system's native format is dragged and dropped onto the addressbar the specified local file will be opened. This is contrary to policy and is what would happen if the string were the equivalent "file:" URL. This vulnerability affects Firefox < 60.

debian логотип

CVE-2018-5182

CVSS3: 7.5
debian
больше 7 лет назад

If a text string that happens to be a filename in the operating system ...

github логотип

GHSA-857q-6rrg-fqm2

CVSS3: 7.5
github
больше 3 лет назад

If a text string that happens to be a filename in the operating system's native format is dragged and dropped onto the addressbar the specified local file will be opened. This is contrary to policy and is what would happen if the string were the equivalent "file:" URL. This vulnerability affects Firefox < 60.

fstec логотип

BDU:2019-04697

CVSS3: 7.5
fstec
больше 6 лет назад

Уязвимость веб-браузера Firefox, связанная с отсутствием защиты служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 77%
0.01014
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-200