Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-11761

Опубликовано: 08 янв. 2020
Источник: nvd
CVSS3: 5.4
CVSS2: 5.8
EPSS Низкий

Уязвимость обхода механизмов защиты в Mozilla Firefox, Thunderbird и Firefox ESR через использование data URI для доступа к объекту JSONView

Описание

Используя форму с data URI, злоумышленник способен получить доступ к объекту JSONView с повышенными привилегиями, который был клонирован в содержимое. Несмотря на минимальное воздействие от раскрытия этого объекта, данный случай является обходом имеющихся механизмов защиты.

Затронутые версии ПО

  • Firefox версии ниже 70
  • Thunderbird версии ниже 68.2
  • Firefox ESR версии ниже 68.2

Тип уязвимости

Обход механизмов защиты

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 70.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 68.2 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 68.2 (исключая)
Конфигурация 2
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:*

EPSS

Процентиль: 61%
0.00414
Низкий

5.4 Medium

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-362

Связанные уязвимости

ubuntu логотип

CVE-2019-11761

CVSS3: 5.4
ubuntu
больше 5 лет назад

By using a form with a data URI it was possible to gain access to the privileged JSONView object that had been cloned into content. Impact from exposing this object appears to be minimal, however it was a bypass of existing defense in depth mechanisms. This vulnerability affects Firefox < 70, Thunderbird < 68.2, and Firefox ESR < 68.2.

redhat логотип

CVE-2019-11761

CVSS3: 5.4
redhat
больше 5 лет назад

By using a form with a data URI it was possible to gain access to the privileged JSONView object that had been cloned into content. Impact from exposing this object appears to be minimal, however it was a bypass of existing defense in depth mechanisms. This vulnerability affects Firefox < 70, Thunderbird < 68.2, and Firefox ESR < 68.2.

debian логотип

CVE-2019-11761

CVSS3: 5.4
debian
больше 5 лет назад

By using a form with a data URI it was possible to gain access to the ...

github логотип

GHSA-44qm-5fqq-5hw7

CVSS3: 5.4
github
около 3 лет назад

By using a form with a data URI it was possible to gain access to the privileged JSONView object that had been cloned into content. Impact from exposing this object appears to be minimal, however it was a bypass of existing defense in depth mechanisms. This vulnerability affects Firefox < 70, Thunderbird < 68.2, and Firefox ESR < 68.2.

fstec логотип

BDU:2020-01409

CVSS3: 5.4
fstec
больше 5 лет назад

Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с ошибкой получения доступа к привилегированному объекту JSONView, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

EPSS

Процентиль: 61%
0.00414
Низкий

5.4 Medium

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-362