Vulnerabilidad en productos Mozilla (CVE-2017-5409)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
11/06/2018
Última modificación:
25/11/2025
Descripción
El actualizador Mozilla para Windows puede ser llamado por un usuario sin privilegios para eliminar un archivo local arbitrario pasando una ruta especial al parámetro callback mediante Mozilla Maintenance Service, que tiene acceso privilegiado. Nota: Este ataque requiere acceso local al sistema y solo afecta a Windows. Otros sistemas operativos no se han visto afectados. La vulnerabilidad afecta a Firefox ESR en versiones anteriores a la 45.8 y Firefox en versiones anteriores a la 52.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 52.0 (excluyendo) | |
| cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 45.8.0 (excluyendo) | |
| cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/96696
- http://www.securitytracker.com/id/1037966
- https://bugzilla.mozilla.org/show_bug.cgi?id=1321814
- https://www.mozilla.org/security/advisories/mfsa2017-05/
- https://www.mozilla.org/security/advisories/mfsa2017-06/
- http://www.securityfocus.com/bid/96696
- http://www.securitytracker.com/id/1037966
- https://bugzilla.mozilla.org/show_bug.cgi?id=1321814
- https://www.mozilla.org/security/advisories/mfsa2017-05/
- https://www.mozilla.org/security/advisories/mfsa2017-06/