Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la DLL "webauthn.dll" de Windows en la %PATH% de usuario en Firefox (CVE-2020-12423)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-427 Elemento no controlado en la ruta de búsqueda
Fecha de publicación:
09/07/2020
Última modificación:
30/01/2023

Descripción

Cuando la DLL "webauthn.dll" de Windows estaba faltando desde el Sistema Operativo y se colocaba una maliciosa en una carpeta en la %PATH% de usuario, Firefox pudo haber cargado la DLL, conllevando a una ejecución de código arbitrario. *Nota: este problema solo afecta al sistema operativo Windows; otros sistemas operativos no están afectados. * Esta vulnerabilidad afecta a Firefox versiones anteriores a 78

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* 78.0 (excluyendo)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*