CVE-2019-11708
CVE-2019-11708
En resumen
Un proceso hijo comprometido en Firefox puede engañar al proceso padre para abrir contenido malicioso sin verificación adecuada, potencialmente permitiendo la ejecución de código arbitrario en la computadora del usuario.
Detalle técnico
La validación insuficiente de mensajes IPC Prompt:Open permite que un proceso hijo en sandbox manipule el proceso padre no-aislado para abrir contenido controlado por el atacante. Combinado con otras vulnerabilidades, puede resultar en ejecución remota de código. Afecta Firefox ESR < 60.7.2, Firefox < 67.0.4 y Thunderbird < 60.7.2.
Resumen generado y traducido por IA a partir de la descripción oficial.
Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes can result in the non-sandboxed parent process opening web content chosen by a compromised child process. When combined with additional vulnerabilities this could result in executing arbitrary code on the user's computer. This vulnerability affects Firefox ESR < 60.7.2, Firefox < 67.0.4, and Thunderbird < 60.7.2.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
PoCs públicas encontradas — 3
githubgithub.com/0vercl0k/CVE-2019-11708★ 625cve_referencepacketstormsecurity.com/files/155592/Mozilla-Firefox-Windows-64-Bit-Chain-Exploit.htmlno verificadoexploitdbwww.exploit-db.com/exploits/47752no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://packetstormsecurity.com/files/155592/Mozilla-Firefox-Windows-64-Bit-Chain-Exploit.htmlhttps://bugzilla.mozilla.org/show_bug.cgi?id=1559858https://security.gentoo.org/glsa/201908-12https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-11708https://www.mozilla.org/security/advisories/mfsa2019-19/https://www.mozilla.org/security/advisories/mfsa2019-20/