CVE-2019-17020
https://notcve.org/view.php?id=CVE-2019-17020
If an XML file is served with a Content Security Policy and the XML file includes an XSL stylesheet, the Content Security Policy will not be applied to the contents of the XSL stylesheet. If the XSL sheet e.g. includes JavaScript, it would bypass any of the restrictions of the Content Security Policy applied to the XML document. This vulnerability affects Firefox < 72. Si un archivo XML es servido con la Política de Seguridad de Contenido y el archivo XML incluye una hoja de estilo XSL, la Política de Seguridad de Contenido no será aplicada al contenido de la hoja de estilo XSL. Si la hoja XSL, por ejemplo, incluye JavaScript, omitiría cualquiera de las restricciones de la Política de Seguridad de Contenido aplicada al documento XML. • https://bugzilla.mozilla.org/show_bug.cgi?id=1597645 https://usn.ubuntu.com/4234-1 https://www.mozilla.org/security/advisories/mfsa2020-01 • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2019-17019
https://notcve.org/view.php?id=CVE-2019-17019
When Python was installed on Windows, a python file being served with the MIME type of text/plain could be executed by Python instead of being opened as a text file when the Open option was selected upon download. *Note: this issue only occurs on Windows. Other operating systems are unaffected.*. This vulnerability affects Firefox < 72. Cuando Python se instaló en Windows, un archivo de Python que es servido con el tipo MIME de text/plain podría ser ejecutado por Python en lugar de abrirlo como un archivo de texto cuando la opción Open fue seleccionada al descargar. • https://bugzilla.mozilla.org/show_bug.cgi?id=1568003 https://www.mozilla.org/security/advisories/mfsa2020-01 •
CVE-2019-17018
https://notcve.org/view.php?id=CVE-2019-17018
When in Private Browsing Mode on Windows 10, the Windows keyboard may retain word suggestions to improve the accuracy of the keyboard. This vulnerability affects Firefox < 72. Cuando se encuentra en Private Browsing Mode en Windows 10, el teclado de Windows puede retener sugerencias de palabras para mejorar la precisión del teclado. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 72. • https://bugzilla.mozilla.org/show_bug.cgi?id=1549394 https://www.mozilla.org/security/advisories/mfsa2020-01 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2019-17017 – Mozilla: Type Confusion in XPCVariant.cpp
https://notcve.org/view.php?id=CVE-2019-17017
Due to a missing case handling object types, a type confusion vulnerability could occur, resulting in a crash. We presume that with enough effort that it could be exploited to run arbitrary code. This vulnerability affects Firefox ESR < 68.4 and Firefox < 72. Debido a una falta de tipos de objetos del manejo de casos, podría ocurrir una vulnerabilidad de confusión de tipos, resultando en un bloqueo. Suponemos que con el esfuerzo suficiente podría ser explotado para ejecutar código arbitrario. • http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00029.html http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00043.html http://packetstormsecurity.com/files/155912/Slackware-Security-Advisory-mozilla-thunderbird-Updates.html https://access.redhat.com/errata/RHSA-2020:0085 https://access.redhat.com/errata/RHSA-2020:0086 https://access.redhat.com/errata/RHSA-2020:0111 https://access.redhat.com/errata/RHSA-2020:0120 https://access.redhat.com/errata/RHSA-2020:0123 https: • CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') •
CVE-2019-17016 – Mozilla: Bypass of @namespace CSS sanitization during pasting
https://notcve.org/view.php?id=CVE-2019-17016
When pasting a <style> tag from the clipboard into a rich text editor, the CSS sanitizer incorrectly rewrites a @namespace rule. This could allow for injection into certain types of websites resulting in data exfiltration. This vulnerability affects Firefox ESR < 68.4 and Firefox < 72. Al pegar un <style> etiqueta del portapapeles en un editor de texto enriquecido, el saneador CSS reescribe incorrectamente una regla @namespace. Esto podría permitir una inyección en ciertos tipos de sitios web resultando en la filtración de datos. • http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00029.html http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00043.html http://packetstormsecurity.com/files/155912/Slackware-Security-Advisory-mozilla-thunderbird-Updates.html https://access.redhat.com/errata/RHSA-2020:0085 https://access.redhat.com/errata/RHSA-2020:0086 https://access.redhat.com/errata/RHSA-2020:0111 https://access.redhat.com/errata/RHSA-2020:0120 https://access.redhat.com/errata/RHSA-2020:0123 https: • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •