Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-11697

Опубликовано: 23 июл. 2019
Источник: nvd
CVSS3: 6.5
CVSS2: 4.3
EPSS Низкий

Уязвимость автоматической установки расширений в браузере Firefox без задержки при установке

Описание

При нажатии клавиш ALT и "a" во время получения пользователями запроса на установку расширения, расширение устанавливается без задержки. Эта задержка обычно необходима для того, чтобы пользователи могли принять или отклонить установку. Злоумышленники могут использовать это в связке со спуфингом на веб-странице для введения пользователей в заблуждение и установки вредоносного расширения.

Затронутые версии ПО

  • Firefox версий ниже 67

Тип уязвимости

Спуфинг

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 67.0 (исключая)

EPSS

Процентиль: 43%
0.00203
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

ubuntu логотип

CVE-2019-11697

CVSS3: 6.5
ubuntu
около 6 лет назад

If the ALT and "a" keys are pressed when users receive an extension installation prompt, the extension will be installed without the install prompt delay that keeps the prompt visible in order for users to accept or decline the installation. A malicious web page could use this with spoofing on the page to trick users into installing a malicious extension. This vulnerability affects Firefox < 67.

debian логотип

CVE-2019-11697

CVSS3: 6.5
debian
около 6 лет назад

If the ALT and "a" keys are pressed when users receive an extension in ...

github логотип

GHSA-wq6m-ccxj-7ccv

CVSS3: 6.5
github
больше 3 лет назад

If the ALT and "a" keys are pressed when users receive an extension installation prompt, the extension will be installed without the install prompt delay that keeps the prompt visible in order for users to accept or decline the installation. A malicious web page could use this with spoofing on the page to trick users into installing a malicious extension. This vulnerability affects Firefox < 67.

fstec логотип

BDU:2020-00607

CVSS3: 6.5
fstec
около 6 лет назад

Уязвимость браузера Firefox, связанная с некорректной установкой приложений при нажатых клавиш на клавиатуре (ALT + a), позволяющая нарушителю оказать воздействие на целостность данных

EPSS

Процентиль: 43%
0.00203
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-20