Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-12421

Опубликовано: 09 июл. 2020
Источник: nvd
CVSS3: 6.5
CVSS2: 4.3
EPSS Низкий

Уязвимость устаревания дополнений без уведомления пользователя в Mozilla Firefox и Thunderbird из-за некорректной обработки сертификатов

Описание

При обновлениях дополнений цепочки сертификатов, которые завершаются не в встроенных корневых сертификатах, отклоняются, даже если они легитимно добавлены администратором. Это приводит к тому, что некоторые дополнения устаревают без уведомления пользователя.

Затронутые версии ПО

  • Firefox ESR версий младше 68.10
  • Firefox версий младше 78
  • Thunderbird версий младше 68.10.0

Тип уязвимости

Подмена

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 78.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 68.10.0 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 68.10.0 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:*

EPSS

Процентиль: 81%
0.01493
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-295

Связанные уязвимости

ubuntu логотип

CVE-2020-12421

CVSS3: 6.5
ubuntu
больше 5 лет назад

When performing add-on updates, certificate chains terminating in non-built-in-roots were rejected (even if they were legitimately added by an administrator.) This could have caused add-ons to become out-of-date silently without notification to the user. This vulnerability affects Firefox ESR < 68.10, Firefox < 78, and Thunderbird < 68.10.0.

redhat логотип

CVE-2020-12421

CVSS3: 6.1
redhat
больше 5 лет назад

When performing add-on updates, certificate chains terminating in non-built-in-roots were rejected (even if they were legitimately added by an administrator.) This could have caused add-ons to become out-of-date silently without notification to the user. This vulnerability affects Firefox ESR < 68.10, Firefox < 78, and Thunderbird < 68.10.0.

debian логотип

CVE-2020-12421

CVSS3: 6.5
debian
больше 5 лет назад

When performing add-on updates, certificate chains terminating in non- ...

github логотип

GHSA-476g-xp34-4rj3

CVSS3: 6.5
github
больше 3 лет назад

When performing add-on updates, certificate chains terminating in non-built-in-roots were rejected (even if they were legitimately added by an administrator.) This could have caused add-ons to become out-of-date silently without notification to the user. This vulnerability affects Firefox ESR < 68.10, Firefox < 78, and Thunderbird < 68.10.0.

fstec логотип

BDU:2022-05931

CVSS3: 6.5
fstec
больше 5 лет назад

Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR и почтового клиента Thunderbird, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю отключить установленные надстройки

EPSS

Процентиль: 81%
0.01493
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-295