Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-17005

Опубликовано: 08 янв. 2020
Источник: nvd
CVSS3: 8.8
CVSS2: 6.8
EPSS Низкий

Уязвимость переполнения массива при обработке элементов списка в Thunderbird и Firefox, приводящая к повреждению памяти и аварийному завершению работы

Описание

Сериализатор простого текста использует массив фиксированного размера для обработки элементов <ol>. Это приводит к возможности переполнения этого массива, что влечет за собой повреждение памяти и потенциально может быть использовано для аварийного завершения работы.

Затронутые версии ПО

  • Thunderbird до версии 68.3
  • Firefox ESR до версии 68.3
  • Firefox до версии 71

Тип уязвимости

  • Переполнение массива
  • Повреждение памяти
  • Аварийное завершение работы

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 71.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 68.3 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 68.3 (исключая)
Конфигурация 2
cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:*

EPSS

Процентиль: 86%
0.02867
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-787

Связанные уязвимости

ubuntu логотип

CVE-2019-17005

CVSS3: 8.8
ubuntu
около 6 лет назад

The plain text serializer used a fixed-size array for the number of <ol> elements it could process; however it was possible to overflow the static-sized array leading to memory corruption and a potentially exploitable crash. This vulnerability affects Thunderbird < 68.3, Firefox ESR < 68.3, and Firefox < 71.

redhat логотип

CVE-2019-17005

CVSS3: 8.8
redhat
около 6 лет назад

The plain text serializer used a fixed-size array for the number of <ol> elements it could process; however it was possible to overflow the static-sized array leading to memory corruption and a potentially exploitable crash. This vulnerability affects Thunderbird < 68.3, Firefox ESR < 68.3, and Firefox < 71.

debian логотип

CVE-2019-17005

CVSS3: 8.8
debian
около 6 лет назад

The plain text serializer used a fixed-size array for the number of <o ...

github логотип

GHSA-p5rh-pvj2-8vfv

CVSS3: 8.8
github
больше 3 лет назад

The plain text serializer used a fixed-size array for the number of <ol> elements it could process; however it was possible to overflow the static-sized array leading to memory corruption and a potentially exploitable crash. This vulnerability affects Thunderbird < 68.3, Firefox ESR < 68.3, and Firefox < 71.

fstec логотип

BDU:2020-01649

CVSS3: 8.8
fstec
около 6 лет назад

Уязвимость механизма сериализации веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с отсутствием проверки размера вводимых данных при использовании буфера, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании и оказать воздействие на целостность данных

EPSS

Процентиль: 86%
0.02867
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-787