CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-12412
https://notcve.org/view.php?id=CVE-2020-12412
By navigating a tab using the history API, an attacker could cause the address bar to display the incorrect domain (with the https:// scheme, a blocked port number such as '1', and without a lock icon) while controlling the page contents. This vulnerability affects Firefox < 70. Al navegar en una pestaña usando la API history, un atacante podría causar que la barra de direcciones muestre el dominio incorrecto (con el esquema https://, un número de puerto bloqueado como "1" y sin un ícono de bloqueo) mientras controla los contenidos de la página. Esta vulnerabilidad afecta a Firefox versiones anteriores a 70 • https://bugzilla.mozilla.org/show_bug.cgi?id=1528587 https://www.mozilla.org/security/advisories/mfsa2019-34 •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-12404
https://notcve.org/view.php?id=CVE-2020-12404
For native-to-JS bridging the app requires a unique token to be passed that ensures non-app code can't call the bridging functions. That token could leak when used for downloading files. This vulnerability affects Firefox for iOS < 26. Para el puente native-to-JS, la aplicación requiere que sea pasado un token único que garantice que un código que no sea de la aplicación no pueda llamar a las funciones de puente. Ese token podría filtrarse cuando sea usado para descargar archivos. • https://bugzilla.mozilla.org/show_bug.cgi?id=1631739 https://www.mozilla.org/security/advisories/mfsa2020-19 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.3EPSS: 0%CPEs: 3EXPL: 1CVE-2020-12416
https://notcve.org/view.php?id=CVE-2020-12416
A VideoStreamEncoder may have been freed in a race condition with VideoBroadcaster::AddOrUpdateSink, resulting in a use-after-free, memory corruption, and a potentially exploitable crash. This vulnerability affects Firefox < 78. Un VideoStreamEncoder puede haberse liberado en una condición de carrera con la función VideoBroadcaster::AddOrUpdateSink, resultando en un uso de la memoria previamente liberada, una corrupción de la memoria y un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox versiones anteriores a 78 • http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00027.html http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00049.html https://bugzilla.mozilla.org/show_bug.cgi?id=1639734 https://security.gentoo.org/glsa/202007-10 https://www.mozilla.org/security/advisories/mfsa2020-24 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') CWE-416: Use After Free •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-12423
https://notcve.org/view.php?id=CVE-2020-12423
When the Windows DLL "webauthn.dll" was missing from the Operating System, and a malicious one was placed in a folder in the user's %PATH%, Firefox may have loaded the DLL, leading to arbitrary code execution. *Note: This issue only affects the Windows operating system; other operating systems are unaffected.* This vulnerability affects Firefox < 78. Cuando la DLL "webauthn.dll" de Windows estaba faltando desde el Sistema Operativo y se colocaba una maliciosa en una carpeta en la %PATH% de usuario, Firefox pudo haber cargado la DLL, conllevando a una ejecución de código arbitrario. *Nota: este problema solo afecta al sistema operativo Windows; otros sistemas operativos no están afectados. * Esta vulnerabilidad afecta a Firefox versiones anteriores a 78 • http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00027.html http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00049.html https://bugzilla.mozilla.org/show_bug.cgi?id=1642400 https://www.mozilla.org/security/advisories/mfsa2020-24 • CWE-427: Uncontrolled Search Path Element •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2020-12422 – Mozilla: Integer overflow in nsJPEGEncoder::emptyOutputBuffer
https://notcve.org/view.php?id=CVE-2020-12422
In non-standard configurations, a JPEG image created by JavaScript could have caused an internal variable to overflow, resulting in an out of bounds write, memory corruption, and a potentially exploitable crash. This vulnerability affects Firefox < 78. En configuraciones no estándar, una imagen JPEG creada por JavaScript podría haber causado un desbordamiento de una variable interna, resultando en una escritura fuera de límites, corrupción de la memoria y un bloqueo explotable potencialmente. Esta vulnerabilidad afecta a Firefox versiones anteriores a 78 • http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00027.html http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00049.html https://bugzilla.mozilla.org/show_bug.cgi?id=1450353 https://security.gentoo.org/glsa/202007-10 https://www.mozilla.org/security/advisories/mfsa2020-24 https://access.redhat.com/security/cve/CVE-2020-12422 https://bugzilla.redhat.com/show_bug.cgi?id=1872538 • CWE-190: Integer Overflow or Wraparound CWE-787: Out-of-bounds Write •