Vulnerabilidad en productos Mozilla (CVE-2016-5284)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
22/09/2016
Última modificación:
12/04/2025
Descripción
Mozilla Firefox en versiones anteriores a la 49.0, Firefox ESR en versiones 45.x anteriores a la 45.4 y Thunderbird en versiones anteriores a la 45.4 confían en fechas de expiración erróneas para Preloaded Public Key Pinning, lo que permite a los atacantes Man-in-the-Middle (MitM) suplantar las actualizaciones de los add-ons aprovechando la posesión de un certificado de servidor X.509 para addons.mozilla.org firmado por una autoridad certificadora integrada arbitraria.
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 48.0.2 (incluyendo) | |
| cpe:2.3:a:mozilla:firefox:45.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:firefox:45.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:firefox:45.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:firefox:45.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:firefox:45.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:firefox:45.3.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://rhn.redhat.com/errata/RHSA-2016-1912.html
- http://seclists.org/dailydave/2016/q3/51
- http://www.debian.org/security/2016/dsa-3674
- http://www.mozilla.org/security/announce/2016/mfsa2016-85.html
- http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2016-3090545.html
- http://www.securityfocus.com/bid/93049
- http://www.securitytracker.com/id/1036852
- https://blog.mozilla.org/security/2016/09/16/update-on-add-on-pinning-vulnerability/
- https://bugzilla.mozilla.org/show_bug.cgi?id=1303127
- https://hackernoon.com/tor-browser-exposed-anti-privacy-implantation-at-mass-scale-bd68e9eb1e95
- https://security.gentoo.org/glsa/201701-15
- https://www.mozilla.org/security/advisories/mfsa2016-86/
- https://www.mozilla.org/security/advisories/mfsa2016-88/
- http://rhn.redhat.com/errata/RHSA-2016-1912.html
- http://seclists.org/dailydave/2016/q3/51
- http://www.debian.org/security/2016/dsa-3674
- http://www.mozilla.org/security/announce/2016/mfsa2016-85.html
- http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2016-3090545.html
- http://www.securityfocus.com/bid/93049
- http://www.securitytracker.com/id/1036852
- https://blog.mozilla.org/security/2016/09/16/update-on-add-on-pinning-vulnerability/
- https://bugzilla.mozilla.org/show_bug.cgi?id=1303127
- https://hackernoon.com/tor-browser-exposed-anti-privacy-implantation-at-mass-scale-bd68e9eb1e95
- https://security.gentoo.org/glsa/201701-15
- https://www.mozilla.org/security/advisories/mfsa2016-86/
- https://www.mozilla.org/security/advisories/mfsa2016-88/