ID CVE-2004-0906
Summary The XPInstall installer in Mozilla Firefox before the Preview Release, Mozilla before 1.7.3, and Thunderbird before 0.8 sets insecure permissions for certain installed files within xpi packages, which could allow local users to overwrite arbitrary files or execute arbitrary code.
References
Vulnerable Configurations
  • cpe:2.3:a:mozilla:mozilla:0.8:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.8:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:0.9.2:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.9.2:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:0.9.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.9.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:0.9.3:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.9.3:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:0.9.4:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.9.4:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:0.9.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.9.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:0.9.5:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.9.5:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:0.9.6:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.9.6:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:0.9.7:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.9.7:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:0.9.8:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.9.8:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:0.9.9:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.9.9:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:0.9.35:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.9.35:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:0.9.48:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:0.9.48:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.0:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.1:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.1:alpha:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.1:alpha:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.1:beta:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.1:beta:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.2:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.2:alpha:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.2:alpha:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.2:beta:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.2:beta:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.3:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.4:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.4:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.4:alpha:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.4:alpha:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.4:beta:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.4:beta:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.4.4:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.4.4:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.5:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.5:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.6:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.6:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.7:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.7:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.7:alpha:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.7:alpha:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.7:beta:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.7:beta:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.7:rc1:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.7:rc1:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.7:rc2:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.7:rc2:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.7:rc3:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.7:rc3:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:mozilla:1.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:mozilla:1.7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:thunderbird:0.1:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:thunderbird:0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:thunderbird:0.2:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:thunderbird:0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:thunderbird:0.3:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:thunderbird:0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:thunderbird:0.4:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:thunderbird:0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:thunderbird:0.5:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:thunderbird:0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:thunderbird:0.6:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:thunderbird:0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:thunderbird:0.7:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:thunderbird:0.7:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:thunderbird:0.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:thunderbird:0.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:thunderbird:0.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:thunderbird:0.7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:mozilla:thunderbird:0.7.3:*:*:*:*:*:*:*
    cpe:2.3:a:mozilla:thunderbird:0.7.3:*:*:*:*:*:*:*
CVSS
Base: 4.6 (as of 11-10-2017 - 01:29)
Impact:
Exploitability:
CWE NVD-CWE-Other
CAPEC
Access
VectorComplexityAuthentication
LOCAL LOW NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL PARTIAL
cvss-vector via4 AV:L/AC:L/Au:N/C:P/I:P/A:P
oval via4
accepted 2013-04-29T04:15:16.411-04:00
class vulnerability
contributors
  • name Aharon Chernin
    organization SCAP.com, LLC
  • name Dragos Prisaca
    organization G2, Inc.
definition_extensions
  • comment The operating system installed on the system is Red Hat Enterprise Linux 3
    oval oval:org.mitre.oval:def:11782
  • comment CentOS Linux 3.x
    oval oval:org.mitre.oval:def:16651
description The XPInstall installer in Mozilla Firefox before the Preview Release, Mozilla before 1.7.3, and Thunderbird before 0.8 sets insecure permissions for certain installed files within xpi packages, which could allow local users to overwrite arbitrary files or execute arbitrary code.
family unix
id oval:org.mitre.oval:def:11668
status accepted
submitted 2010-07-09T03:56:16-04:00
title The XPInstall installer in Mozilla Firefox before the Preview Release, Mozilla before 1.7.3, and Thunderbird before 0.8 sets insecure permissions for certain installed files within xpi packages, which could allow local users to overwrite arbitrary files or execute arbitrary code.
version 29
redhat via4
advisories
rhsa
id RHSA-2005:323
refmap via4
bid 11192
cert-vn VU#653160
confirm
gentoo GLSA-200409-26
secunia 12526
suse SUSE-SA:2004:036
xf mozilla-insecure-file-permissions(17375)
Last major update 11-10-2017 - 01:29
Published 31-12-2004 - 05:00
Last modified 11-10-2017 - 01:29
Back to Top