Vulnerabilidad en Thunderbird y SeaMonkey de Mozilla sobre Windows XP (CVE-2010-3131)
Gravedad CVSS v2.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/08/2010
Última modificación:
11/04/2025
Descripción
Una vulnerabilidad de ruta de búsqueda no confiable en Firefox anterior a versión 3.5.12 y versiones 3.6.x anteriores a 3.6.9, Thunderbird anteriores a versión 3.0.7 y versiones 3.1.x anteriores a 3.1.3, y SeaMonkey anterior a versión 2.0.7, de Mozilla sobre Windows XP, permite a usuarios locales, y posiblemente remotos atacantes, para ejecutar código arbitrario y conducir ataques de secuestro de DLL por medio de un archivo dwmapi.dll de tipo caballo de Troya que se encuentra en la misma carpeta que un archivo .htm, .html, .jtx, .mfp o .eml.
Impacto
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:firefox:3.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:firefox:3.6.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:firefox:3.6.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:firefox:3.6.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:firefox:3.6.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:firefox:3.6.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:firefox:3.6.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:* | 2.0.6 (incluyendo) | |
| cpe:2.3:a:mozilla:seamonkey:1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:seamonkey:1.0:alpha:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:seamonkey:1.0:beta:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:seamonkey:1.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:seamonkey:1.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:seamonkey:1.0.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:seamonkey:1.0.4:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2010-10/msg00002.html
- http://secunia.com/advisories/41095
- http://secunia.com/advisories/41168
- http://www.exploit-db.com/exploits/14730
- http://www.exploit-db.com/exploits/14783
- http://www.mozilla.org/security/announce/2010/mfsa2010-52.html
- http://www.securityfocus.com/archive/1/513324/100/0/threaded
- http://www.vupen.com/english/advisories/2010/2169
- http://www.vupen.com/english/advisories/2010/2201
- http://www.vupen.com/english/advisories/2010/2323
- https://bugzilla.mozilla.org/show_bug.cgi?id=579593
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A12143
- http://lists.opensuse.org/opensuse-security-announce/2010-10/msg00002.html
- http://secunia.com/advisories/41095
- http://secunia.com/advisories/41168
- http://www.exploit-db.com/exploits/14730
- http://www.exploit-db.com/exploits/14783
- http://www.mozilla.org/security/announce/2010/mfsa2010-52.html
- http://www.securityfocus.com/archive/1/513324/100/0/threaded
- http://www.vupen.com/english/advisories/2010/2169
- http://www.vupen.com/english/advisories/2010/2201
- http://www.vupen.com/english/advisories/2010/2323
- https://bugzilla.mozilla.org/show_bug.cgi?id=579593
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A12143