CVE-2019-11728
https://notcve.org/view.php?id=CVE-2019-11728
The HTTP Alternative Services header, Alt-Svc, can be used by a malicious site to scan all TCP ports of any host that the accessible to a user when web content is loaded. This vulnerability affects Firefox < 68. El encabezado HTTP Alternative Services, Alt-Svc, puede ser usado por un sitio malicioso para analizar todos los puertos TCP de cualquier host que sean accesibles por un usuario cuando sea cargado el contenido web. Esta vulnerabilidad afecta a Firefox anterior a versión 68. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html https://bugzilla.mozilla.org/show_bug.cgi?id=1552993 https://security.gentoo.org/glsa/201908-12 https://www.mozilla.org/security/advisories/mfsa2019-21 • CWE-668: Exposure of Resource to Wrong Sphere •
CVE-2019-11724
https://notcve.org/view.php?id=CVE-2019-11724
Application permissions give additional remote troubleshooting permission to the site input.mozilla.org, which has been retired and now redirects to another site. This additional permission is unnecessary and is a potential vector for malicious attacks. This vulnerability affects Firefox < 68. Los permisos de la aplicación otorgan un permiso de solución de problemas remoto adicional al sitio input.mozilla.org, que ha sido retirado y ahora redirecciona a otro sitio. Este permiso adicional es innecesario y es un vector potencial para ataques maliciosos. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html https://bugzilla.mozilla.org/show_bug.cgi?id=1512511 https://security.gentoo.org/glsa/201908-12 https://www.mozilla.org/security/advisories/mfsa2019-21 • CWE-863: Incorrect Authorization •
CVE-2019-11720
https://notcve.org/view.php?id=CVE-2019-11720
Some unicode characters are incorrectly treated as whitespace during the parsing of web content instead of triggering parsing errors. This allows malicious code to then be processed, evading cross-site scripting (XSS) filtering. This vulnerability affects Firefox < 68. Algunos caracteres unicode son tratados incorrectamente como espacios en blanco durante el análisis de contenido web en lugar de desencadenar errores de análisis. Esto permite que sea procesado el código malicioso, evadiendo el filtrado de cross-site scripting (XSS). • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html https://bugzilla.mozilla.org/show_bug.cgi?id=1556230 https://security.gentoo.org/glsa/201908-12 https://www.mozilla.org/security/advisories/mfsa2019-21 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-11725
https://notcve.org/view.php?id=CVE-2019-11725
When a user navigates to site marked as unsafe by the Safebrowsing API, warning messages are displayed and navigation is interrupted but resources from the same site loaded through websockets are not blocked, leading to the loading of unsafe resources and bypassing safebrowsing protections. This vulnerability affects Firefox < 68. Cuando un usuario navega hacia un sitio marcado como no seguro por la API Safebrowsing, se muestran mensajes de advertencia y se interrumpe la navegación, pero los recursos del mismo sitio cargados por medio de websockets no se bloquean, lo que conlleva a la carga de recursos no seguros y evita las protecciones de seguridad. Esta vulnerabilidad afecta a Firefox anterior a versión 68. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html https://bugzilla.mozilla.org/show_bug.cgi?id=1483510 https://security.gentoo.org/glsa/201908-12 https://www.mozilla.org/security/advisories/mfsa2019-21 •
CVE-2019-11727 – nss: PKCS#1 v1.5 signatures can be used for TLS 1.3
https://notcve.org/view.php?id=CVE-2019-11727
A vulnerability exists where it possible to force Network Security Services (NSS) to sign CertificateVerify with PKCS#1 v1.5 signatures when those are the only ones advertised by server in CertificateRequest in TLS 1.3. PKCS#1 v1.5 signatures should not be used for TLS 1.3 messages. This vulnerability affects Firefox < 68. Se presenta una vulnerabilidad donde es posible forzar a Network Security Services (NSS) para firmar CertificateVerify con firmas de PKCS#1 versión v1.5 cuando esas son las únicas anunciadas por el servidor en CertificateRequest en TLS versión 1.3. Las firmas de PKCS#1 versión v1.5 no deben ser usadas para mensajes de TLS versión 1.3. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00006.html https://access.redhat.com/errata/RHSA-2019:1951 https://bugzilla.mozilla.org/show_bug.cgi?id=1552208 https://security.gentoo.or • CWE-295: Improper Certificate Validation CWE-327: Use of a Broken or Risky Cryptographic Algorithm •