CVE-2019-11717

Опубликовано: 23 июл. 2019

Источник: nvd

CVSS3: 5.3

CVSS2: 5

EPSS Низкий

Уязвимость некорректного экранирования символа "^" при создании URI в Mozilla Firefox и Thunderbird, приводящая к спуфингу атрибутов происхождения

Описание

В Mozilla Firefox и Thunderbird существует уязвимость, связанная с некорректным экранированием символа ^ при создании URI. Это происходит из-за использования этого символа в качестве разделителя и может позволить злоумышленнику выполнять спуфинг атрибутов происхождения.

Затронутые версии ПО

Firefox ESR версий до 60.8
Firefox версий до 68
Thunderbird версий до 60.8

Тип уязвимости

Спуфинг

Ссылки

http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00055.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00058.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00073.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=1548306
Exploit
Issue Tracking
Vendor Advisory
https://lists.debian.org/debian-lts-announce/2019/08/msg00001.html
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2019/08/msg00002.html
Mailing List
Third Party Advisory
https://security.gentoo.org/glsa/201908-12
Third Party Advisory
https://security.gentoo.org/glsa/201908-20
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2019-21/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2019-22/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2019-23/
Vendor Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00055.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00058.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00073.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=1548306
Exploit
Issue Tracking
Vendor Advisory
https://lists.debian.org/debian-lts-announce/2019/08/msg00001.html
Mailing List
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 60.8.0 (исключая)

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 68.0 (исключая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 60.8.0 (исключая)

Конфигурация 2

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:a:novell:suse_package_hub_for_suse_linux_enterprise:12:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:leap:15.0:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*

EPSS

Процентиль: 89%

0.05007

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-116

Связанные уязвимости

CVE-2019-11717

CVSS3: 5.3

ubuntu

больше 6 лет назад

A vulnerability exists where the caret ("^") character is improperly escaped constructing some URIs due to it being used as a separator, allowing for possible spoofing of origin attributes. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

CVE-2019-11717

CVSS3: 6.1

redhat

больше 6 лет назад

CVE-2019-11717

CVSS3: 5.3

debian

больше 6 лет назад

A vulnerability exists where the caret ("^") character is improperly e ...

GHSA-vp8c-39q7-pxqc

CVSS3: 5.3

github

больше 3 лет назад

BDU:2019-03615

CVSS3: 5.3

fstec

больше 6 лет назад

Уязвимость почтового клиента Thunderbird и браузеров Firefox и Firefox ESR, связанная с ошибками экранирования символа каретки("^"), позволяющая нарушителю нарушить целостность данных

EPSS

Процентиль: 89%

0.05007

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-116