Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-29541

Опубликовано: 02 июн. 2023
Источник: nvd
CVSS3: 8.8
EPSS Низкий

Уязвимость некорректной обработки загрузок файлов с расширением .desktop в Firefox для Linux, позволяющая выполнить команды, контролируемые злоумышленником

Описание

Firefox некорректно обрабатывает загрузку файлов с расширением .desktop, которые могут быть интерпретированы для выполнения команд, контролируемых злоумышленником.

Эта ошибка влияет только на Firefox для Linux в определённых дистрибутивах. Другие операционные системы не затронуты. Mozilla не может перечислить все затронутые дистрибутивы Linux.

Затронутые версии ПО

  • Firefox < 112
  • Focus для Android < 112
  • Firefox ESR < 102.10
  • Firefox для Android < 112
  • Thunderbird < 102.10

Тип уязвимости

Выполнение произвольных команд

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 112.0 (исключая)
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:android:*:*
Версия до 112.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 102.10 (исключая)
cpe:2.3:a:mozilla:focus:*:*:*:*:*:android:*:*
Версия до 112.0 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 102.10 (исключая)

EPSS

Процентиль: 36%
0.00143
Низкий

8.8 High

CVSS3

Дефекты

CWE-116
CWE-116

Связанные уязвимости

ubuntu логотип

CVE-2023-29541

CVSS3: 8.8
ubuntu
около 2 лет назад

Firefox did not properly handle downloads of files ending in <code>.desktop</code>, which can be interpreted to run attacker-controlled commands. <br>*This bug only affects Firefox for Linux on certain Distributions. Other operating systems are unaffected, and Mozilla is unable to enumerate all affected Linux Distributions.*. This vulnerability affects Firefox < 112, Focus for Android < 112, Firefox ESR < 102.10, Firefox for Android < 112, and Thunderbird < 102.10.

redhat логотип

CVE-2023-29541

CVSS3: 8.8
redhat
около 2 лет назад

Firefox did not properly handle downloads of files ending in <code>.desktop</code>, which can be interpreted to run attacker-controlled commands. <br>*This bug only affects Firefox for Linux on certain Distributions. Other operating systems are unaffected, and Mozilla is unable to enumerate all affected Linux Distributions.*. This vulnerability affects Firefox < 112, Focus for Android < 112, Firefox ESR < 102.10, Firefox for Android < 112, and Thunderbird < 102.10.

debian логотип

CVE-2023-29541

CVSS3: 8.8
debian
около 2 лет назад

Firefox did not properly handle downloads of files ending in <code>.de ...

github логотип

GHSA-wm65-g4q2-jh7c

CVSS3: 8.8
github
около 2 лет назад

Firefox did not properly handle downloads of files ending in <code>.desktop</code>, which can be interpreted to run attacker-controlled commands. <br>*This bug only affects Firefox for Linux on certain Distributions. Other operating systems are unaffected, and Mozilla is unable to enumerate all affected Linux Distributions.*. This vulnerability affects Firefox < 112, Focus for Android < 112, Firefox ESR < 102.10, Firefox for Android < 112, and Thunderbird < 102.10.

fstec логотип

BDU:2023-02689

CVSS3: 5
fstec
около 2 лет назад

Уязвимость браузеров Mozilla Firefox, Focus for Android, Mozilla Firefox ESR и почтового клиента Thunderbird, связанная с некорректной обработкой имен файлов, оканчивающихся на .desktop, позволяющая нарушителю обойти ограничения безопасности и выполнить произвольные команды

EPSS

Процентиль: 36%
0.00143
Низкий

8.8 High

CVSS3

Дефекты

CWE-116
CWE-116