Vulnerabilidad en Bugzilla (CVE-2014-8630)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
01/02/2015
Última modificación:
12/04/2025
Descripción
Bugzilla anterior a 4.0.16, 4.1.x y 4.2.x anterior a 4.2.12, 4.3.x y 4.4.x anterior a 4.4.7, y 5.x anterior a 5.0rc1 permite a usuarios remotos autenticados ejecutar comandos arbitrarios mediante el aprovechamiento del privilegio editcomponents y la provocación de entradas manipuladas en una llamada abierta de doble argumento Perl, tal y como fue demostrado mediante megacaracteres de shell en el nombre de un producto.
Impacto
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:bugzilla:*:*:*:*:*:*:*:* | 4.0.16 (incluyendo) | |
| cpe:2.3:a:mozilla:bugzilla:4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.1.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.1.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.2:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.2:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.2.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.2.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.2.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:4.2.7:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://advisories.mageia.org/MGASA-2015-0048.html
- http://lists.fedoraproject.org/pipermail/package-announce/2015-February/149921.html
- http://lists.fedoraproject.org/pipermail/package-announce/2015-February/149925.html
- http://www.bugzilla.org/security/4.0.15/
- http://www.mandriva.com/security/advisories?name=MDVSA-2015%3A030
- https://bugzilla.mozilla.org/show_bug.cgi?id=1079065
- https://security.gentoo.org/glsa/201607-11
- http://advisories.mageia.org/MGASA-2015-0048.html
- http://lists.fedoraproject.org/pipermail/package-announce/2015-February/149921.html
- http://lists.fedoraproject.org/pipermail/package-announce/2015-February/149925.html
- http://www.bugzilla.org/security/4.0.15/
- http://www.mandriva.com/security/advisories?name=MDVSA-2015%3A030
- https://bugzilla.mozilla.org/show_bug.cgi?id=1079065
- https://security.gentoo.org/glsa/201607-11