Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-12393

Опубликовано: 26 мая 2020
Источник: nvd
CVSS3: 7.8
CVSS2: 4.6
EPSS Низкий

Уязвимость выполнения произвольных команд через некорректную обработку HTTP-метода в функции "Copy as cURL" в Mozilla Firefox и Thunderbird на Windows

Описание

Функция Copy as cURL в сетевой вкладке Devtools в Mozilla Firefox некорректно экранирует HTTP-метод запроса, который может контролироваться веб-сайтом. Если пользователь использует функцию Copy as cURL и вставляет команду в терминал, это приводит к внедрению выполнению произвольных команд.

Примечание: данная проблема затрагивает только Firefox на операционных системах Windows.

Затронутые версии ПО

  • Firefox ESR версий до 68.8
  • Firefox версий до 76
  • Thunderbird версий до 68.8.0

Тип уязвимости

Внедрение и выполнение произвольных команд

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 76.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 68.8.0 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 68.8.0 (исключая)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 65%
0.0048
Низкий

7.8 High

CVSS3

4.6 Medium

CVSS2

Дефекты

CWE-78

Связанные уязвимости

ubuntu логотип

CVE-2020-12393

CVSS3: 7.8
ubuntu
больше 5 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP method of a request, which can be controlled by the website. If a user used the 'Copy as cURL' feature and pasted the command into a terminal, it could have resulted in command injection and arbitrary command execution. *Note: this issue only affects Firefox on Windows operating systems.*. This vulnerability affects Firefox ESR < 68.8, Firefox < 76, and Thunderbird < 68.8.0.

redhat логотип

CVE-2020-12393

CVSS3: 7.8
redhat
почти 6 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP method of a request, which can be controlled by the website. If a user used the 'Copy as cURL' feature and pasted the command into a terminal, it could have resulted in command injection and arbitrary command execution. *Note: this issue only affects Firefox on Windows operating systems.*. This vulnerability affects Firefox ESR < 68.8, Firefox < 76, and Thunderbird < 68.8.0.

debian логотип

CVE-2020-12393

CVSS3: 7.8
debian
больше 5 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly e ...

github логотип

GHSA-x932-mvm6-79m8

github
больше 3 лет назад

The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP method of a request, which can be controlled by the website. If a user used the 'Copy as cURL' feature and pasted the command into a terminal, it could have resulted in command injection and arbitrary command execution. *Note: this issue only affects Firefox on Windows operating systems.*. This vulnerability affects Firefox ESR < 68.8, Firefox < 76, and Thunderbird < 68.8.0.

suse-cvrf логотип

openSUSE-SU-2020:0643-1

suse-cvrf
больше 5 лет назад

Security update for MozillaThunderbird

EPSS

Процентиль: 65%
0.0048
Низкий

7.8 High

CVSS3

4.6 Medium

CVSS2

Дефекты

CWE-78