Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en foxmarks (CVE-2024-47884)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/10/2024
Última modificación:
15/10/2024

Descripción

foxmarks es una interfaz CLI de solo lectura para los marcadores e historial de Firefox. Se creó un archivo temporal en el directorio /tmp con permisos de lectura para todos los usuarios que contenía una copia de la base de datos de marcadores, historial, historial de entradas, contador de visitas, contador de uso, contador de vistas y más información confidencial sobre el historial de uso de Firefox. Los permisos predeterminados son 0o600 para NamedTempFile. Sin embargo, después de copiar la base de datos, sus permisos se copiaron con ella, lo que resultó en un archivo inseguro con permisos 0x644. Un usuario malintencionado puede leer la base de datos cuando el usuario objetivo ejecuta foxmarks bookmarks o foxmarks history. Esta vulnerabilidad está parcheada en v2.1.0.