CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-11727 – nss: PKCS#1 v1.5 signatures can be used for TLS 1.3
https://notcve.org/view.php?id=CVE-2019-11727
A vulnerability exists where it possible to force Network Security Services (NSS) to sign CertificateVerify with PKCS#1 v1.5 signatures when those are the only ones advertised by server in CertificateRequest in TLS 1.3. PKCS#1 v1.5 signatures should not be used for TLS 1.3 messages. This vulnerability affects Firefox < 68. Se presenta una vulnerabilidad donde es posible forzar a Network Security Services (NSS) para firmar CertificateVerify con firmas de PKCS#1 versión v1.5 cuando esas son las únicas anunciadas por el servidor en CertificateRequest en TLS versión 1.3. Las firmas de PKCS#1 versión v1.5 no deben ser usadas para mensajes de TLS versión 1.3. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00006.html https://access.redhat.com/errata/RHSA-2019:1951 https://bugzilla.mozilla.org/show_bug.cgi?id=1552208 https://security.gentoo.or • CWE-295: Improper Certificate Validation CWE-327: Use of a Broken or Risky Cryptographic Algorithm •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-11725
https://notcve.org/view.php?id=CVE-2019-11725
When a user navigates to site marked as unsafe by the Safebrowsing API, warning messages are displayed and navigation is interrupted but resources from the same site loaded through websockets are not blocked, leading to the loading of unsafe resources and bypassing safebrowsing protections. This vulnerability affects Firefox < 68. Cuando un usuario navega hacia un sitio marcado como no seguro por la API Safebrowsing, se muestran mensajes de advertencia y se interrumpe la navegación, pero los recursos del mismo sitio cargados por medio de websockets no se bloquean, lo que conlleva a la carga de recursos no seguros y evita las protecciones de seguridad. Esta vulnerabilidad afecta a Firefox anterior a versión 68. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html https://bugzilla.mozilla.org/show_bug.cgi?id=1483510 https://security.gentoo.org/glsa/201908-12 https://www.mozilla.org/security/advisories/mfsa2019-21 •
CVSS: 8.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-11716
https://notcve.org/view.php?id=CVE-2019-11716
Until explicitly accessed by script, window.globalThis is not enumerable and, as a result, is not visible to code such as Object.getOwnPropertyNames(window). Sites that deploy a sandboxing that depends on enumerating and freezing access to the window object may miss this, allowing their sandboxes to be bypassed. This vulnerability affects Firefox < 68. Hasta que se acceda de forma explícita mediante un script, window.globalThis no es enumerable y, como resultado, no es visible para código tal y como Object.getOwnPropertyNames(window). Los sitios que implementan un sandbox que depende de la enumeración y la congelación del acceso al objeto de la ventana pueden pasarlo por alto, lo que permite que se eludan sus sandbox. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html https://bugzilla.mozilla.org/show_bug.cgi?id=1552632 https://security.gentoo.org/glsa/201908-12 https://www.mozilla.org/security/advisories/mfsa2019-21 • CWE-20: Improper Input Validation •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 1CVE-2019-11721
https://notcve.org/view.php?id=CVE-2019-11721
The unicode latin 'kra' character can be used to spoof a standard 'k' character in the addressbar. This allows for domain spoofing attacks as do not display as punycode text, allowing for user confusion. This vulnerability affects Firefox < 68. El carácter latino 'kra' de Unicode puede ser usado para falsificar un carácter 'k' estándar en la barra de direcciones. Esto permite que los ataques de suplantación de dominio no se muestren como texto de código púny, lo que permite la confusión del usuario. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html https://bugzilla.mozilla.org/show_bug.cgi?id=1256009 https://security.gentoo.org/glsa/201908-12 https://www.mozilla.org/security/advisories/mfsa2019-21 •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2019-11720
https://notcve.org/view.php?id=CVE-2019-11720
Some unicode characters are incorrectly treated as whitespace during the parsing of web content instead of triggering parsing errors. This allows malicious code to then be processed, evading cross-site scripting (XSS) filtering. This vulnerability affects Firefox < 68. Algunos caracteres unicode son tratados incorrectamente como espacios en blanco durante el análisis de contenido web en lugar de desencadenar errores de análisis. Esto permite que sea procesado el código malicioso, evadiendo el filtrado de cross-site scripting (XSS). • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html https://bugzilla.mozilla.org/show_bug.cgi?id=1556230 https://security.gentoo.org/glsa/201908-12 https://www.mozilla.org/security/advisories/mfsa2019-21 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •