CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-4138
https://notcve.org/view.php?id=CVE-2021-4138
Improved Host header checks to reject requests not sent to a well-known local hostname or IP, or the server-specified hostname. Se han mejorado las comprobaciones del encabezado de Host para rechazar las peticiones que no son enviadas a un nombre de host o IP local conocido, o al nombre de host especificado por el servidor • https://bugzilla.mozilla.org/show_bug.cgi?id=1652612 https://github.com/mozilla/geckodriver/releases/tag/v0.30.0 •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15660
https://notcve.org/view.php?id=CVE-2020-15660
Missing checks on Content-Type headers in geckodriver before 0.27.0 could lead to a CSRF vulnerability, that might, when paired with a specifically prepared request, lead to remote code execution. Una falta de comprobación de los encabezados Content-Type en geckodriver versiones anteriores a 0.27.0, podría conllevar una vulnerabilidad de tipo CSRF, que podría, cuando se combina con una petición específicamente preparada, conllevar a una ejecución de código remota • http://www.openwall.com/lists/oss-security/2022/02/07/3 https://github.com/mozilla/geckodriver/releases/tag/v0.27.0 • CWE-352: Cross-Site Request Forgery (CSRF) •