Vulnerabilidad en una URI mailto en Mozilla Firefox con Thunderbir (CVE-2007-4038)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
27/07/2007
Última modificación:
09/04/2025
Descripción
Una vulnerabilidad de inyección de argumentos en Mozilla Firefox versiones anteriores a 2.0.0.5, cuando se ejecuta en sistemas con Thunderbird versión 1.5 instalado y ciertas URI registradas, permite a atacantes remotos conducir ataques de tipo cross-browser scripting y ejecutar comandos arbitrarios por medio de metacaracteres shell en una URI mailto, que se insertan en la línea de comandos que es creada al invocar el archivo Thunderbird.exe, un problema similar a CVE-2007-3670.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 2.0.0.4 (incluyendo) | |
| cpe:2.3:a:mozilla:thunderbird:1.5:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://larholm.com/2007/07/25/mozilla-protocol-abuse/
- http://seclists.org/fulldisclosure/2007/Jul/0557.html
- http://www.securityfocus.com/archive/1/474624/100/0/threaded
- http://www.securityfocus.com/archive/1/474686/100/0/threaded
- http://larholm.com/2007/07/25/mozilla-protocol-abuse/
- http://seclists.org/fulldisclosure/2007/Jul/0557.html
- http://www.securityfocus.com/archive/1/474624/100/0/threaded
- http://www.securityfocus.com/archive/1/474686/100/0/threaded