PT-2020-5614 · Mozilla+6 · Firefox+8
Ophir Lojkine
·
Publicado
2020-05-05
·
Atualizado
2024-12-12
·
CVE-2020-12392
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 68.7 e anteriores do Firefox ESR
Versões anteriores à 76 do Firefox
Versões anteriores à 68.8.0 do Thunderbird
Descrição
O recurso “Copiar como cURL” da guia Rede do Devtools não escapava adequadamente os dados HTTP POST de uma solicitação, que podem ser controlados pelo site. Se um usuário utilizasse o recurso “Copiar como cURL” e colasse o comando em um terminal, isso poderia resultar na divulgação de arquivos locais.
Recomendações
Para as versões 68.7 e anteriores do Firefox ESR, atualize para a versão 68.8 ou posterior.
Para as versões do Firefox anteriores à 76, atualize para a versão 76 ou posterior.
Para as versões do Thunderbird anteriores à 68.8.0, atualize para a versão 68.8.0 ou posterior.
Como solução temporária, considere evitar o uso do recurso “Copiar como cURL” até que uma correção esteja disponível.
Exploit
Correção
Information Disclosure
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Centos
Firefox
Firefox Esr
Linuxmint
Red Hat
Suse
Thunderbird
Ubuntu