Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2024-8383

Опубликовано: 03 сент. 2024
Источник: nvd
CVSS3: 7.5
EPSS Низкий

Уязвимость запуска ненадежных приложений через схемы "news:" и "snews:" в Firefox

Описание

Firefox обычно запрашивает подтверждение у пользователя перед тем, как обратиться к операционной системе для поиска приложения, которое может обработать схему, не поддерживаемую браузером. Однако для схем, связанных с Usenet (news: и snews:), подтверждение не запрашивалось. Поскольку большинство операционных систем по умолчанию не имеют предустановленного доверенного новостного клиента (newsreader), недобросовестная программа, скачанная пользователем, могла зарегистрировать себя в качестве обработчика этих схем. Веб-сайт, с которого было скачано такое приложение, мог затем запускать его по своему усмотрению.

Затронутые версии ПО

  • Firefox < 130
  • Firefox ESR < 128.2
  • Firefox ESR < 115.15

Тип уязвимости

Несанкционированный запуск приложений

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 130.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 115.15 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия от 128.0 (включая) до 128.2 (исключая)

EPSS

Процентиль: 41%
0.00182
Низкий

7.5 High

CVSS3

Дефекты

NVD-CWE-noinfo
CWE-1188

Связанные уязвимости

ubuntu логотип

CVE-2024-8383

CVSS3: 7.5
ubuntu
10 месяцев назад

Firefox normally asks for confirmation before asking the operating system to find an application to handle a scheme that the browser does not support. It did not ask before doing so for the Usenet-related schemes news: and snews:. Since most operating systems don't have a trusted newsreader installed by default, an unscrupulous program that the user downloaded could register itself as a handler. The website that served the application download could then launch that application at will. This vulnerability affects Firefox < 130, Firefox ESR < 128.2, and Firefox ESR < 115.15.

redhat логотип

CVE-2024-8383

CVSS3: 7.5
redhat
10 месяцев назад

Firefox normally asks for confirmation before asking the operating system to find an application to handle a scheme that the browser does not support. It did not ask before doing so for the Usenet-related schemes news: and snews:. Since most operating systems don't have a trusted newsreader installed by default, an unscrupulous program that the user downloaded could register itself as a handler. The website that served the application download could then launch that application at will. This vulnerability affects Firefox < 130, Firefox ESR < 128.2, and Firefox ESR < 115.15.

debian логотип

CVE-2024-8383

CVSS3: 7.5
debian
10 месяцев назад

Firefox normally asks for confirmation before asking the operating sys ...

github логотип

GHSA-794f-5gfq-xmmq

CVSS3: 7.5
github
10 месяцев назад

Firefox normally asks for confirmation before asking the operating system to find an application to handle a scheme that the browser does not support. It did not ask before doing so for the Usenet-related schemes news: and snews:. Since most operating systems don't have a trusted newsreader installed by default, an unscrupulous program that the user downloaded could register itself as a handler. The website that served the application download could then launch that application at will This vulnerability affects Firefox < 130, Firefox ESR < 128.2, and Firefox ESR < 115.15.

fstec логотип

BDU:2024-06700

CVSS3: 7.5
fstec
10 месяцев назад

Уязвимость браузера Firefox, Firefox ESR, связанная с отсутствием диалогового окна подтверждения при открытии связанных с Usenet схем &quot;news:&quot; и &quot;snews:&quot;, позволяющая нарушителю загрузить произвольное приложение и выполнить произвольный код

EPSS

Процентиль: 41%
0.00182
Низкий

7.5 High

CVSS3

Дефекты

NVD-CWE-noinfo
CWE-1188