PT-2020-13098 · Mozilla+2 · Firefox+3

David Yesland

·

Publicado

2020-05-05

·

Atualizado

2024-12-12

·

CVE-2020-12393

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Firefox ESR anteriores à 68.8
Versões do Firefox anteriores à 76
Versões do Thunderbird anteriores à 68.8.0
Descrição
O recurso “Copiar como cURL” da guia “Rede” das Ferramentas de Desenvolvimento não escapava adequadamente o método HTTP de uma solicitação, o que pode ser controlado pelo site. Se um usuário utilizasse o recurso “Copiar como cURL” e colasse o comando em um terminal, isso poderia resultar em injeção de comando e execução arbitrária de comando. Esta falha afeta apenas o Firefox em sistemas operacionais Windows.
Recomendações
Para versões do Firefox ESR anteriores à 68.8, atualize para a versão 68.8 ou posterior.
Para versões do Firefox anteriores à 76, atualize para a versão 76 ou posterior.
Para versões do Thunderbird anteriores à 68.8.0, atualize para a versão 68.8.0 ou posterior.
Como solução temporária, considere evitar o uso do recurso “Copiar como cURL” na guia Rede do Devtools até que uma correção seja aplicada.

Exploit

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

ALT-PU-2020-1915
ALT-PU-2020-1932
ALT-PU-2020-1933
ALT-PU-2020-1943
ALT-PU-2020-3442
ALT-PU-2021-3368
CVE-2020-12393
OPENSUSE-SU-2020:0621-1
OPENSUSE-SU-2020:0643-1
OPENSUSE-SU-2020_0621-1
OPENSUSE-SU-2020_0643-1
OPENSUSE-SU-2024:10600-1
OPENSUSE-SU-2024:10601-1
OPENSUSE-SU-2024:14572-1
SUSE-SU-2020:1209-1
SUSE-SU-2020:1218-1
SUSE-SU-2020:1225-1
SUSE-SU-2020:14359-1

Produtos afetados

Alt Linux
Firefox
Suse
Thunderbird