137 results (0.008 seconds)

CVSS: 10.0EPSS: 1%CPEs: 1EXPL: 3

Multiple low security issues were discovered and fixed in a security audit of Mozilla VPN 2.x branch as part of a 3rd party security audit. This vulnerability affects Mozilla VPN < 2.3. Multiples problemas de baja seguridad se detectaron y corrigieron en una auditoría de seguridad de la rama Mozilla VPN versión 2.x como parte de una auditoría de seguridad de terceros. Esta vulnerabilidad afecta a Mozilla VPN versiones anteriores a 2.3 • https://github.com/mozilla-mobile/mozilla-vpn-client/issues/797 https://github.com/mozilla-mobile/mozilla-vpn-client/issues/798 https://github.com/mozilla-mobile/mozilla-vpn-client/issues/799 https://github.com/mozilla-mobile/mozilla-vpn-client/issues/800 https://github.com/mozilla-mobile/mozilla-vpn-client/issues/801 https://github.com/mozilla-mobile/mozilla-vpn-client/issues/803 https://github.com/mozilla-mobile/mozilla-vpn-client/issues/804 https://github.com/mozilla-mobile/mozilla& •

CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 2

Mozilla Firefox 3.0.13 and earlier, 3.5, 3.6 a1 pre, and 3.7 a1 pre; SeaMonkey 1.1.17; and Mozilla 1.7.x and earlier do not properly block data: URIs in Refresh headers in HTTP responses, which allows remote attackers to conduct cross-site scripting (XSS) attacks via vectors related to (1) injecting a Refresh header that contains JavaScript sequences in a data:text/html URI or (2) entering a data:text/html URI with JavaScript sequences when specifying the content of a Refresh header. NOTE: in some product versions, the JavaScript executes outside of the context of the HTTP site. Mozilla Firefox v3.0.13 y anteriores, v3.5, v3.6 a1 pre, y v3.7 a1 pre; SeaMonkey v1.1.17; y Mozilla v1.7.x y anteriores no bloquean de forma adecuada las URIs data: en las cabeceras Refresh de las respuestas HTTP, lo que permite a atacantes remotos realizar ataques de ejecución de secuencias de comandos en sitios cruzados (XSS) a través de vectores relativos a (1) inyectar una cabecera Refresh que contiene secuencias Javascript en una URI data:text/html p (2) introduciendo una URI data:text/html con secuencias javascript cuando se especifica el contenido de una cabecera Refresh. NOTA: en algunas versiones del producto, el javascript se ejecuta fuera del contexto del sitio HTTP. • http://websecurity.com.ua/3315 http://websecurity.com.ua/3386 https://exchange.xforce.ibmcloud.com/vulnerabilities/52999 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 60EXPL: 2

Mozilla Firefox 3.0.13 and earlier, 3.5, 3.6 a1 pre, and 3.7 a1 pre; SeaMonkey 1.1.17; and Mozilla 1.7.x and earlier do not properly handle javascript: URIs in HTML links within 302 error documents sent from web servers, which allows user-assisted remote attackers to conduct cross-site scripting (XSS) attacks via vectors related to (1) injecting a Location HTTP response header or (2) specifying the content of a Location HTTP response header. Mozilla Firefox v3.0.13 y anteriores, v3.5, v3.6 a1 pre, y v3.7 a1 pre; SeaMonkey v1.1.17; y Mozilla v1.7.x y anteriores no manejan de forma adecuada las URIs javascript en los enlaces HTML incluidos en los documentos de error 302 enviados desde servidores web, lo que permite a atacantes remotos asistidos por usuarios realizar un ataque de ejecución de secuencias de comandos en sitios cruzados (XSS) a través de vectores relativos a (1) inyectar una cabecera Location de respuesta HTTP o (2) especificando el contenidos de una cabecera Location de respuesta HTTP. • http://websecurity.com.ua/3373 http://websecurity.com.ua/3386 http://www.securityfocus.com/archive/1/506163/100/0/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/52995 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0

Argument injection vulnerability involving Mozilla, when certain URIs are registered, allows remote attackers to conduct cross-browser scripting attacks and execute arbitrary commands via shell metacharacters in an unspecified URI, which are inserted into the command line when invoking the handling process, a similar issue to CVE-2007-3670. Vulnerabilidad de inyección de argumento involucrando a Mozilla, cuando determinados URIS se han registrado, permite a atacantes remotos conducir ataques de salto de navegador y ejecutar comandos de su elección mediante metacaracteres de consola de comandos en un URI no especificado, que son insertados en una línea de comando al invocar al proceso gestor, asunto similar a CVE-2007-3670. • http://larholm.com/2007/07/25/mozilla-protocol-abuse http://seclists.org/fulldisclosure/2007/Jul/0557.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.4EPSS: 2%CPEs: 1EXPL: 2

Visual truncation vulnerability in Mozilla 1.7.12 allows remote attackers to spoof the address bar and possibly conduct phishing attacks via a long hostname, which is truncated after a certain number of characters, as demonstrated by a phishing attack using HTTP Basic Authentication. Vulnerabilidad de truncamiento visual en Mozilla 1.7.12 permite a atacantes remotos envenenar la barra de dirección y posiblemente conducir ataques de phishing a través de un nombre de host largo, el cual está truncado después de un cierto número de caracteres, como se demostró por un ataque de phishing utilizando HTTP Basic Authentication. • http://osvdb.org/43466 http://testing.bitsploit.de/test.html http://www.0x000000.com/?i=334 http://www.securityfocus.com/bid/24352 https://exchange.xforce.ibmcloud.com/vulnerabilities/34983 •