CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-15648 – Mozilla: X-Frame-Options bypass using object or embed tags
https://notcve.org/view.php?id=CVE-2020-15648
Using object or embed tags, it was possible to frame other websites, even if they disallowed framing using the X-Frame-Options header. This vulnerability affects Thunderbird < 78 and Firefox < 78.0.2. Usando objetos o etiquetas insertadas, fue posible enmarcar otros sitios web, incluso si no permitían el encuadre usando el encabezado X-Frame-Options. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 78 y Firefox versiones anteriores a 78.0.2 • https://bugzilla.mozilla.org/show_bug.cgi?id=1644076 https://www.mozilla.org/security/advisories/mfsa2020-28 https://www.mozilla.org/security/advisories/mfsa2020-29 https://access.redhat.com/security/cve/CVE-2020-15648 https://bugzilla.redhat.com/show_bug.cgi?id=1872537 • CWE-451: User Interface (UI) Misrepresentation of Critical Information CWE-1021: Improper Restriction of Rendered UI Layers or Frames •
CVSS: 7.4EPSS: 0%CPEs: 2EXPL: 0CVE-2020-15647
https://notcve.org/view.php?id=CVE-2020-15647
A Content Provider in Firefox for Android allowed local files accessible by the browser to be read by a remote webpage, leading to sensitive data disclosure, including cookies for other origins. This vulnerability affects Firefox for < Android. Un Proveedor de Contenido en Firefox para Android permitió que los archivos locales accesibles para el navegador fueran leídos por una página web remota, conllevando a una divulgación de datos confidenciales, incluyendo las cookies de otros orígenes. Esta vulnerabilidad afecta a Firefox para versiones anteriores a Android • https://bugzilla.mozilla.org/show_bug.cgi?id=1647078 https://www.mozilla.org/security/advisories/mfsa2020-27 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-15651
https://notcve.org/view.php?id=CVE-2020-15651
A unicode RTL order character in the downloaded file name can be used to change the file's name during the download UI flow to change the file extension. This vulnerability affects Firefox for iOS < 28. Un carácter de orden RTL Unicode en el nombre del archivo descargado puede ser usado para cambiar el nombre del archivo durante el flujo de la Interfaz de Usuario de descarga para cambiar la extensión del archivo. Esta vulnerabilidad afecta a Firefox para iOS versiones anteriores a 28 • https://bugzilla.mozilla.org/show_bug.cgi?id=1649160 https://www.mozilla.org/security/advisories/mfsa2020-34 •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15662
https://notcve.org/view.php?id=CVE-2020-15662
A rogue webpage could override the injected WKUserScript used by the download feature, this exploit could result in the user downloading an unintended file. This vulnerability affects Firefox for iOS < 28. Una página web fraudulenta podría anular el WKUserScript inyectado usado por la funcionalidad download; esta explotación podría resultar en que el usuario descargue un archivo no deseado. Esta vulnerabilidad afecta a Firefox para iOS versiones anteriores a 28 • https://bugzilla.mozilla.org/show_bug.cgi?id=1653827 https://www.mozilla.org/security/advisories/mfsa2020-34 •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 0CVE-2020-15657
https://notcve.org/view.php?id=CVE-2020-15657
Firefox could be made to load attacker-supplied DLL files from the installation directory. This required an attacker that is already capable of placing files in the installation directory. *Note: This issue only affected Windows operating systems. Other operating systems are unaffected.*. This vulnerability affects Firefox ESR < 78.1, Firefox < 79, and Thunderbird < 78.1. • http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00025.html https://bugzilla.mozilla.org/show_bug.cgi?id=1644954 https://www.mozilla.org/security/advisories/mfsa2020-30 https://www.mozilla.org/security/advisories/mfsa2020-32 https://www.mozilla.org/security/advisories/mfsa2020-33 • CWE-427: Uncontrolled Search Path Element •