Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-12392

Опубликовано: 26 мая 2020
Источник: nvd
CVSS3: 5.5
CVSS2: 2.1
EPSS Низкий

Уязвимость раскрытия локальных файлов через некорректное экранирование данных HTTP POST запроса в функции "Copy as cURL" в инструментах разработчика Firefox и Thunderbird

Описание

Функция Copy as cURL во вкладке "сеть" инструментов разработчика некорректно экранирует данные HTTP POST запроса, что позволяет веб-сайту контролировать их содержание. Если пользователь использует Copy as cURL и вставляет команду в терминал, это может привести к раскрытию локальных файлов.

Затронутые версии ПО

  • Firefox ESR до версии 68.8
  • Firefox до версии 76
  • Thunderbird до версии 68.8.0

Тип уязвимости

Раскрытие информации

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 76.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 68.8.0 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 68.8.0 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:*

EPSS

Процентиль: 34%
0.00136
Низкий

5.5 Medium

CVSS3

2.1 Low

CVSS2

Дефекты

CWE-22

Связанные уязвимости

ubuntu логотип

CVE-2020-12392

CVSS3: 5.5
ubuntu
больше 5 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP POST data of a request, which can be controlled by the website. If a user used the 'Copy as cURL' feature and pasted the command into a terminal, it could have resulted in the disclosure of local files. This vulnerability affects Firefox ESR < 68.8, Firefox < 76, and Thunderbird < 68.8.0.

redhat логотип

CVE-2020-12392

CVSS3: 6.1
redhat
почти 6 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP POST data of a request, which can be controlled by the website. If a user used the 'Copy as cURL' feature and pasted the command into a terminal, it could have resulted in the disclosure of local files. This vulnerability affects Firefox ESR < 68.8, Firefox < 76, and Thunderbird < 68.8.0.

debian логотип

CVE-2020-12392

CVSS3: 5.5
debian
больше 5 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly e ...

github логотип

GHSA-f75r-qhf4-x3wr

CVSS3: 5.5
github
больше 3 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP POST data of a request, which can be controlled by the website. If a user used the 'Copy as cURL' feature and pasted the command into a terminal, it could have resulted in the disclosure of local files. This vulnerability affects Firefox ESR < 68.8, Firefox < 76, and Thunderbird < 68.8.0.

fstec логотип

BDU:2021-01269

CVSS3: 5.3
fstec
больше 5 лет назад

Уязвимость опции «Копировать как cURL» веб-браузеров Firefox ESR, Firefox, почтового клиента Thunderbird, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 34%
0.00136
Низкий

5.5 Medium

CVSS3

2.1 Low

CVSS2

Дефекты

CWE-22