Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-24002

Опубликовано: 24 июн. 2021
Источник: nvd
CVSS3: 8.8
CVSS2: 6.8
EPSS Низкий

Уязвимость отправки произвольных команд на FTP-сервер в Firefox и Thunderbird при обработке закодированных символов новой строки в FTP URL

Описание

При нажатии пользователем на FTP URL, содержащий закодированные символы новой строки (%0A и %0D), данные символы интерпретируются как новые строки, что позволяет отправлять произвольные команды на FTP-сервер.

Затронутые версии ПО

  • Firefox ESR до версии 78.10
  • Thunderbird до версии 78.10
  • Firefox до версии 88

Тип уязвимости

Отправка произвольных команд

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 88.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 78.10 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 78.10 (исключая)

EPSS

Процентиль: 32%
0.00123
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-74

Связанные уязвимости

ubuntu логотип

CVE-2021-24002

CVSS3: 8.8
ubuntu
около 4 лет назад

When a user clicked on an FTP URL containing encoded newline characters (%0A and %0D), the newlines would have been interpreted as such and allowed arbitrary commands to be sent to the FTP server. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88.

redhat логотип

CVE-2021-24002

CVSS3: 8.8
redhat
больше 4 лет назад

When a user clicked on an FTP URL containing encoded newline characters (%0A and %0D), the newlines would have been interpreted as such and allowed arbitrary commands to be sent to the FTP server. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88.

debian логотип

CVE-2021-24002

CVSS3: 8.8
debian
около 4 лет назад

When a user clicked on an FTP URL containing encoded newline character ...

github логотип

GHSA-jvwq-53jx-c5f6

CVSS3: 8.8
github
около 3 лет назад

When a user clicked on an FTP URL containing encoded newline characters (%0A and %0D), the newlines would have been interpreted as such and allowed arbitrary commands to be sent to the FTP server. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88.

fstec логотип

BDU:2021-02283

CVSS3: 4.2
fstec
больше 4 лет назад

Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, связанная с ошибками при обработке символов новой строки в URL-адресе FTP, позволяющая нарушителю отправлять произвольные команды на FTP-сервер

EPSS

Процентиль: 32%
0.00123
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-74