Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-6811

Vulnerabilidad en el método HTTP de una petición en la funcionalidad "Copy as cURL" de la pestaña de red de Devtools en Thunderbird, Firefox y Firefox ESR (CVE-2020-6811)

Tipo: 
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Gravedad: 
Media
Fecha publicación : 
25/03/2020
Última modificación: 
30/03/2020
Descripción
La funcionalidad "Copy as cURL" de la pestaña de red de Devtools no escapó correctamente el método HTTP de una petición, que puede ser controlada por el sitio web. Si un usuario utilizó la funcionalidad "Copy as Curl" y pegó el comando a un terminal, podría haber resultado en una inyección de comandos y una ejecución de comandos arbitraria. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 68.6, Firefox versiones anteriores a 74, Firefox versiones anteriores a ESR68.6 y Firefox ESR versiones anteriores a 68.6.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos