Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-9801

Опубликовано: 26 апр. 2019
Источник: nvd
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Уязвимость запуска локального приложения в Mozilla Firefox через регистрацию Program ID в Windows

Описание

В Mozilla Firefox принимается любой зарегистрированный Program ID в качестве обработчика внешних протоколов и пользователю предлагается запустить это локальное приложение при получении соответствующего URL-адреса в операционной системе Windows. Это должно происходить только в том случае, если программа специально зарегистрировала себя как "URL Handler" в реестре Windows.

Примечание: эта проблема затрагивает только операционные системы Windows. Другие операционные системы не затронуты.

Затронутые версии ПО

  • Thunderbird до версии 60.6
  • Firefox ESR до версии 60.6
  • Firefox до версии 66

Тип уязвимости

Запуск локального приложения

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 66.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 60.6 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 60.6 (исключая)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 60%
0.0039
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

ubuntu логотип

CVE-2019-9801

CVSS3: 5.3
ubuntu
почти 7 лет назад

Firefox will accept any registered Program ID as an external protocol handler and offer to launch this local application when given a matching URL on Windows operating systems. This should only happen if the program has specifically registered itself as a "URL Handler" in the Windows registry. *Note: This issue only affects Windows operating systems. Other operating systems are unaffected.*. This vulnerability affects Thunderbird < 60.6, Firefox ESR < 60.6, and Firefox < 66.

redhat логотип

CVE-2019-9801

CVSS3: 6.1
redhat
почти 7 лет назад

Firefox will accept any registered Program ID as an external protocol handler and offer to launch this local application when given a matching URL on Windows operating systems. This should only happen if the program has specifically registered itself as a "URL Handler" in the Windows registry. *Note: This issue only affects Windows operating systems. Other operating systems are unaffected.*. This vulnerability affects Thunderbird < 60.6, Firefox ESR < 60.6, and Firefox < 66.

debian логотип

CVE-2019-9801

CVSS3: 5.3
debian
почти 7 лет назад

Firefox will accept any registered Program ID as an external protocol ...

github логотип

GHSA-cr8h-fffv-pv55

CVSS3: 5.3
github
больше 3 лет назад

Firefox will accept any registered Program ID as an external protocol handler and offer to launch this local application when given a matching URL on Windows operating systems. This should only happen if the program has specifically registered itself as a "URL Handler" in the Windows registry. *Note: This issue only affects Windows operating systems. Other operating systems are unaffected.*. This vulnerability affects Thunderbird < 60.6, Firefox ESR < 60.6, and Firefox < 66.

suse-cvrf логотип

SUSE-SU-2019:0871-1

suse-cvrf
почти 7 лет назад

Security update for MozillaFirefox

EPSS

Процентиль: 60%
0.0039
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-20