CVE-2020-15677

Опубликовано: 01 окт. 2020

Источник: nvd

CVSS3: 6.1

CVSS2: 5.8

EPSS Низкий

Уязвимость подмены отображаемого сайта в диалоговом окне загрузки файлов через открытое перенаправление в Firefox и Thunderbird

Описание

Злоумышленник эксплуатирует уязвимость открытого перенаправления (Open Redirect) на веб-сайте для подмены отображаемого сайта в диалоговом окне загрузки файлов. Это позволяет показывать оригинальный сайт (страдающий от открытого перенаправления), вместо реального сайта, с которого загружается файл.

Затронутые версии ПО

Firefox версии ниже 81
Thunderbird версии ниже 78.3
Firefox ESR версии ниже 78.3

Тип уязвимости

Подмена сайта через открытое перенаправление (Open Redirect)

Ссылки

http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00074.html
Broken Link
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00077.html
Broken Link
Mailing List
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=1641487
Issue Tracking
Permissions Required
Vendor Advisory
https://lists.debian.org/debian-lts-announce/2020/10/msg00020.html
Mailing List
Third Party Advisory
https://security.gentoo.org/glsa/202010-02
Third Party Advisory
https://www.debian.org/security/2020/dsa-4770
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2020-42/
Release Notes
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2020-43/
Release Notes
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2020-44/
Release Notes
Vendor Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00074.html
Broken Link
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00077.html
Broken Link
Mailing List
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=1641487
Issue Tracking
Permissions Required
Vendor Advisory
https://lists.debian.org/debian-lts-announce/2020/10/msg00020.html
Mailing List
Third Party Advisory
https://security.gentoo.org/glsa/202010-02
Third Party Advisory
https://www.debian.org/security/2020/dsa-4770
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2020-42/
Release Notes
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2020-43/
Release Notes
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2020-44/
Release Notes
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 81.0 (исключая)

cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*

Версия до 78.3 (исключая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 78.3 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*

cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:leap:15.2:*:*:*:*:*:*:*

EPSS

Процентиль: 66%

0.00527

Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-601

Связанные уязвимости

CVE-2020-15677

CVSS3: 6.1

ubuntu

почти 5 лет назад

By exploiting an Open Redirect vulnerability on a website, an attacker could have spoofed the site displayed in the download file dialog to show the original site (the one suffering from the open redirect) rather than the site the file was actually downloaded from. This vulnerability affects Firefox < 81, Thunderbird < 78.3, and Firefox ESR < 78.3.

CVE-2020-15677

CVSS3: 6.1

redhat

почти 5 лет назад

CVE-2020-15677

CVSS3: 6.1

debian

почти 5 лет назад

By exploiting an Open Redirect vulnerability on a website, an attacker ...

GHSA-c2xm-2fm6-9338

CVSS3: 6.1

github

больше 3 лет назад

openSUSE-SU-2020:1574-1

suse-cvrf

почти 5 лет назад

Security update for MozillaFirefox

EPSS

Процентиль: 66%

0.00527

Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-601