Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-29542

Опубликовано: 19 июн. 2023
Источник: nvd
CVSS3: 9.8
EPSS Низкий

Уязвимость обхода защитных механизмов файловых расширений в Firefox и Thunderbird на Windows из-за использования символа новой строки в имени файла

Описание

Символ новой строки в имени файла используется для обхода механизмов безопасности файловых расширений, которые заменяют вредоносные расширения файлов, такие как .lnk, на .download. Это приводит к случайному выполнению вредоносного кода.

Данная уязвимость затрагивает только Firefox и Thunderbird на Windows. Другие версии Firefox и Thunderbird не подвержены этой уязвимости.

Затронутые версии ПО

  • Firefox < 112
  • Firefox ESR < 102.10
  • Thunderbird < 102.10

Тип уязвимости

  • Обход механизмов безопасности
  • Выполнение вредоносного кода

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 112.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 102.10 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 102.10 (исключая)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 32%
0.00121
Низкий

9.8 Critical

CVSS3

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

ubuntu логотип

CVE-2023-29542

CVSS3: 9.8
ubuntu
около 2 лет назад

A newline in a filename could have been used to bypass the file extension security mechanisms that replace malicious file extensions such as .lnk with .download. This could have led to accidental execution of malicious code. *This bug only affects Firefox and Thunderbird on Windows. Other versions of Firefox and Thunderbird are unaffected.* This vulnerability affects Firefox < 112, Firefox ESR < 102.10, and Thunderbird < 102.10.

redhat логотип

CVE-2023-29542

CVSS3: 6.1
redhat
около 2 лет назад

A newline in a filename could have been used to bypass the file extension security mechanisms that replace malicious file extensions such as .lnk with .download. This could have led to accidental execution of malicious code. *This bug only affects Firefox and Thunderbird on Windows. Other versions of Firefox and Thunderbird are unaffected.* This vulnerability affects Firefox < 112, Firefox ESR < 102.10, and Thunderbird < 102.10.

debian логотип

CVE-2023-29542

CVSS3: 9.8
debian
около 2 лет назад

A newline in a filename could have been used to bypass the file extens ...

github логотип

GHSA-pc79-pjx7-pq9h

CVSS3: 9.8
github
около 2 лет назад

A newline in a filename could have been used to bypass the file extension security mechanisms that replace malicious file extensions such as .lnk with .download. This could have led to accidental execution of malicious code. *This bug only affects Firefox and Thunderbird on Windows. Other versions of Firefox and Thunderbird are unaffected.* This vulnerability affects Firefox < 112, Firefox ESR < 102.10, and Thunderbird < 102.10.

fstec логотип

BDU:2023-02690

CVSS3: 6.3
fstec
около 2 лет назад

Уязвимость браузеров Mozilla Firefox, Focus for Android, Mozilla Firefox ESR и почтового клиента Thunderbird, связанная с некорректной обработкой новой строки в имени файла, позволяющая нарушителю обойти ограничения безопасности и выполнить произвольный код

EPSS

Процентиль: 32%
0.00121
Низкий

9.8 Critical

CVSS3

Дефекты

NVD-CWE-noinfo