Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-9794

Опубликовано: 26 апр. 2019
Источник: nvd
CVSS3: 9.8
CVSS2: 7.5
EPSS Низкий

Уязвимость выполнения произвольного кода в Firefox и Thunderbird через некорректную обработку аргументов командной строки

Описание

Обнаружена уязвимость, при которой определённые аргументы командной строки не удаляются должным образом при вызове Firefox в качестве обработчика URL. Это позволяет получить и исполнить файлы, местоположение которых указывается через эти аргументы командной строки, если Firefox настроен как обработчик URI по умолчанию для заданной схемы URI в сторонних приложениях и эти приложения недостаточно очищают данные URL.

Примечание: Данная уязвимость затрагивает только операционные системы Windows. Другие операционные системы не подвержены.

Затронутые версии ПО

  • Thunderbird версий ниже 60.6
  • Firefox ESR версий ниже 60.6
  • Firefox версий ниже 66

Тип уязвимости

Выполнение произвольного кода

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 60.6.0 (исключая)
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 66.0 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 60.6.0 (исключая)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 63%
0.00444
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-88

Связанные уязвимости

ubuntu логотип

CVE-2019-9794

CVSS3: 9.8
ubuntu
почти 7 лет назад

A vulnerability was discovered where specific command line arguments are not properly discarded during Firefox invocation as a shell handler for URLs. This could be used to retrieve and execute files whose location is supplied through these command line arguments if Firefox is configured as the default URI handler for a given URI scheme in third party applications and these applications insufficiently sanitize URL data. *Note: This issue only affects Windows operating systems. Other operating systems are unaffected.*. This vulnerability affects Thunderbird < 60.6, Firefox ESR < 60.6, and Firefox < 66.

redhat логотип

CVE-2019-9794

CVSS3: 9.8
redhat
почти 7 лет назад

A vulnerability was discovered where specific command line arguments are not properly discarded during Firefox invocation as a shell handler for URLs. This could be used to retrieve and execute files whose location is supplied through these command line arguments if Firefox is configured as the default URI handler for a given URI scheme in third party applications and these applications insufficiently sanitize URL data. *Note: This issue only affects Windows operating systems. Other operating systems are unaffected.*. This vulnerability affects Thunderbird < 60.6, Firefox ESR < 60.6, and Firefox < 66.

debian логотип

CVE-2019-9794

CVSS3: 9.8
debian
почти 7 лет назад

A vulnerability was discovered where specific command line arguments a ...

github логотип

GHSA-2cx8-vq8f-mwm5

CVSS3: 9.8
github
больше 3 лет назад

A vulnerability was discovered where specific command line arguments are not properly discarded during Firefox invocation as a shell handler for URLs. This could be used to retrieve and execute files whose location is supplied through these command line arguments if Firefox is configured as the default URI handler for a given URI scheme in third party applications and these applications insufficiently sanitize URL data. *Note: This issue only affects Windows operating systems. Other operating systems are unaffected.*. This vulnerability affects Thunderbird < 60.6, Firefox ESR < 60.6, and Firefox < 66.

fstec логотип

BDU:2020-00727

CVSS3: 9.8
fstec
почти 7 лет назад

Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю получить несанкционированный доступ к информации и нарушить ее целостность и доступность

EPSS

Процентиль: 63%
0.00444
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-88