Vulnerabilidad en los parámetros de línea de comando relacionados con el Inicio de Sesión en Firefox y Firefox ESR. (CVE-2019-11751)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/09/2019
Última modificación:
24/08/2020
Descripción
Los parámetros de línea de comando relacionados con el Inicio de Sesión no son saneados apropiadamente cuando Firefox es iniciado por otro programa, tal y como cuando un usuario hace clic en enlaces maliciosos en una aplicación de chat. Esto puede ser usado para escribir un archivo de registro en una ubicación arbitraria, como en la carpeta "Startup" de Windows. *Nota: este problema solo afecta a Firefox en los sistemas operativos Windows. *. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69 y Firefox ESR versiones anteriores a 68.1.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 69.0 (excluyendo) | |
| cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:* | 68.1.0 (excluyendo) | |
| cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html
- http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html
- https://bugzilla.mozilla.org/show_bug.cgi?id=1572838
- https://www.mozilla.org/security/advisories/mfsa2019-25/
- https://www.mozilla.org/security/advisories/mfsa2019-26/