Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-25729

Опубликовано: 02 июн. 2023
Источник: nvd
CVSS3: 8.8
EPSS Низкий

Уязвимость некорректного отображения запросов разрешений при открытии внешних схем в Firefox и Thunderbird

Описание

Диалоги разрешений для открытия внешних схем отображались только для ContentPrincipals, что позволяло расширениям использовать ExpandedPrincipals для открытия таких схем без взаимодействия пользователя. Это могло привести к выполнению вредоносных действий, например, скачиванию файлов или взаимодействию с установленным на системе программным обеспечением.

Затронутые версии ПО

  • Firefox версий до 110
  • Thunderbird версий до 102.8
  • Firefox ESR версий до 102.8

Тип уязвимости

Обход механизма запросов на разрешение

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 110.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 102.8 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 102.8 (исключая)

EPSS

Процентиль: 31%
0.00116
Низкий

8.8 High

CVSS3

Дефекты

NVD-CWE-noinfo
CWE-863

Связанные уязвимости

ubuntu логотип

CVE-2023-25729

CVSS3: 8.8
ubuntu
больше 2 лет назад

Permission prompts for opening external schemes were only shown for <code>ContentPrincipals</code> resulting in extensions being able to open them without user interaction via <code>ExpandedPrincipals</code>. This could lead to further malicious actions such as downloading files or interacting with software already installed on the system. This vulnerability affects Firefox < 110, Thunderbird < 102.8, and Firefox ESR < 102.8.

redhat логотип

CVE-2023-25729

CVSS3: 8.8
redhat
больше 2 лет назад

Permission prompts for opening external schemes were only shown for <code>ContentPrincipals</code> resulting in extensions being able to open them without user interaction via <code>ExpandedPrincipals</code>. This could lead to further malicious actions such as downloading files or interacting with software already installed on the system. This vulnerability affects Firefox < 110, Thunderbird < 102.8, and Firefox ESR < 102.8.

debian логотип

CVE-2023-25729

CVSS3: 8.8
debian
больше 2 лет назад

Permission prompts for opening external schemes were only shown for <c ...

github логотип

GHSA-vhjv-4vf6-mc9x

CVSS3: 8.8
github
больше 2 лет назад

Permission prompts for opening external schemes were only shown for <code>ContentPrincipals</code> resulting in extensions being able to open them without user interaction via <code>ExpandedPrincipals</code>. This could lead to further malicious actions such as downloading files or interacting with software already installed on the system. This vulnerability affects Firefox < 110, Thunderbird < 102.8, and Firefox ESR < 102.8.

fstec логотип

BDU:2023-01271

CVSS3: 7.5
fstec
больше 2 лет назад

Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR, почтового клиента Mozilla Thunderbird, связанная с неправильной нейтрализаций закодированных схем URI на веб-странице, позволяющая нарушителю загрузить файлы или взаимодействовать с программным обеспечением, уже установленным в системе

EPSS

Процентиль: 31%
0.00116
Низкий

8.8 High

CVSS3

Дефекты

NVD-CWE-noinfo
CWE-863