Vulnerabilidad en productos Mozilla (CVE-2017-7761)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/06/2018
Última modificación:
25/11/2025
Descripción
La aplicación "helper.exe" de Mozilla Maintenance Service crea un directorio temporal escribible por usuarios no privilegiados. Cuando esto se combina con la creación de un junction (un tipo de vínculo simbólico), los archivos protegidos en el directorio objetivo del junction pueden ser eliminados por Mozilla Maintenance Service, el cual tiene acceso privilegiado. Nota: Este ataque requiere acceso local al sistema y solo afecta a Windows. Otros sistemas operativos no se han visto afectados. La vulnerabilidad afecta a Firefox ESR en versiones anteriores a la 52.2 y Firefox en versiones anteriores a la 54.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 52.2.0 (excluyendo) | |
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 54.0 (excluyendo) | |
| cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/99057
- http://www.securitytracker.com/id/1038689
- https://bugzilla.mozilla.org/show_bug.cgi?id=1215648
- https://sourceforge.net/p/nsis/bugs/1125/
- https://www.mozilla.org/security/advisories/mfsa2017-15/
- https://www.mozilla.org/security/advisories/mfsa2017-16/
- http://www.securityfocus.com/bid/99057
- http://www.securitytracker.com/id/1038689
- https://bugzilla.mozilla.org/show_bug.cgi?id=1215648
- https://sourceforge.net/p/nsis/bugs/1125/
- https://www.mozilla.org/security/advisories/mfsa2017-15/
- https://www.mozilla.org/security/advisories/mfsa2017-16/