Уязвимость манипуляции именем файла при перетаскивании изображения в файловую систему в Mozilla Firefox
Описание
Злоумышленник, убедивший пользователя перетащить изображение в файловую систему, способен изменить имя файла так, чтобы оно содержало исполняемое расширение. Это, в свою очередь, может привести к выполнению вредоносного кода. Хотя эта проблема очень похожа, она является отдельной от уязвимости CVE-2022-34482.
Затронутые версии ПО
- Mozilla Firefox версий ниже 102
Тип уязвимости
- Манипуляция именем файла
- Потенциальное выполнение произвольного кода
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
8.8 High
CVSS3
Дефекты
Связанные уязвимости
An attacker who could have convinced a user to drag and drop an image to a filesystem could have manipulated the resulting filename to contain an executable extension, and by extension potentially tricked the user into executing malicious code. While very similar, this is a separate issue from CVE-2022-34482. This vulnerability affects Firefox < 102.
An attacker who could have convinced a user to drag and drop an image ...
An attacker who could have convinced a user to drag and drop an image to a filesystem could have manipulated the resulting filename to contain an executable extension, and by extension potentially tricked the user into executing malicious code. While very similar, this is a separate issue from CVE-2022-34482. This vulnerability affects Firefox < 102.
Уязвимость бразуера Mozilla Firefox, связанная с недостаточным предупреждением об опасных действиях, позволяющая нарушителю выполнить произвольный код
EPSS
8.8 High
CVSS3