Vulnerabilidad en la funcionalidad "Forget about this site" en el panel History en Firefox y Firefox ESR. (CVE-2019-11747)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

27/09/2019

Última modificación:

05/10/2019

Descripción

La funcionalidad "Forget about this site" en el panel History tiene como objetivo suprimir todos los datos de usuario guardados que indican que un usuario ha visitado un sitio. Esto incluye eliminar cualquier configuración de HTTP Strict Transport Security (HSTS) recibida desde los sitios que la usan. Debido a un bug, los sitios en la lista de precarga también tienen su configuración HSTS eliminada. En la próxima visita a ese sitio, si el usuario especifica una URL http: en lugar de https: seguro, no estará protegido por la configuración HSTS precargada. Después de esa visita, la configuración HSTS del sitio será restablecida. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69 y Firefox ESR versiones anteriores a 68.1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno