CVE-2019-11724
https://notcve.org/view.php?id=CVE-2019-11724
Application permissions give additional remote troubleshooting permission to the site input.mozilla.org, which has been retired and now redirects to another site. This additional permission is unnecessary and is a potential vector for malicious attacks. This vulnerability affects Firefox < 68. Los permisos de la aplicación otorgan un permiso de solución de problemas remoto adicional al sitio input.mozilla.org, que ha sido retirado y ahora redirecciona a otro sitio. Este permiso adicional es innecesario y es un vector potencial para ataques maliciosos. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html https://bugzilla.mozilla.org/show_bug.cgi?id=1512511 https://security.gentoo.org/glsa/201908-12 https://www.mozilla.org/security/advisories/mfsa2019-21 • CWE-863: Incorrect Authorization •
CVE-2019-11720
https://notcve.org/view.php?id=CVE-2019-11720
Some unicode characters are incorrectly treated as whitespace during the parsing of web content instead of triggering parsing errors. This allows malicious code to then be processed, evading cross-site scripting (XSS) filtering. This vulnerability affects Firefox < 68. Algunos caracteres unicode son tratados incorrectamente como espacios en blanco durante el análisis de contenido web en lugar de desencadenar errores de análisis. Esto permite que sea procesado el código malicioso, evadiendo el filtrado de cross-site scripting (XSS). • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html https://bugzilla.mozilla.org/show_bug.cgi?id=1556230 https://security.gentoo.org/glsa/201908-12 https://www.mozilla.org/security/advisories/mfsa2019-21 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-11725
https://notcve.org/view.php?id=CVE-2019-11725
When a user navigates to site marked as unsafe by the Safebrowsing API, warning messages are displayed and navigation is interrupted but resources from the same site loaded through websockets are not blocked, leading to the loading of unsafe resources and bypassing safebrowsing protections. This vulnerability affects Firefox < 68. Cuando un usuario navega hacia un sitio marcado como no seguro por la API Safebrowsing, se muestran mensajes de advertencia y se interrumpe la navegación, pero los recursos del mismo sitio cargados por medio de websockets no se bloquean, lo que conlleva a la carga de recursos no seguros y evita las protecciones de seguridad. Esta vulnerabilidad afecta a Firefox anterior a versión 68. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html https://bugzilla.mozilla.org/show_bug.cgi?id=1483510 https://security.gentoo.org/glsa/201908-12 https://www.mozilla.org/security/advisories/mfsa2019-21 •
CVE-2019-11727 – nss: PKCS#1 v1.5 signatures can be used for TLS 1.3
https://notcve.org/view.php?id=CVE-2019-11727
A vulnerability exists where it possible to force Network Security Services (NSS) to sign CertificateVerify with PKCS#1 v1.5 signatures when those are the only ones advertised by server in CertificateRequest in TLS 1.3. PKCS#1 v1.5 signatures should not be used for TLS 1.3 messages. This vulnerability affects Firefox < 68. Se presenta una vulnerabilidad donde es posible forzar a Network Security Services (NSS) para firmar CertificateVerify con firmas de PKCS#1 versión v1.5 cuando esas son las únicas anunciadas por el servidor en CertificateRequest en TLS versión 1.3. Las firmas de PKCS#1 versión v1.5 no deben ser usadas para mensajes de TLS versión 1.3. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00006.html https://access.redhat.com/errata/RHSA-2019:1951 https://bugzilla.mozilla.org/show_bug.cgi?id=1552208 https://security.gentoo.or • CWE-295: Improper Certificate Validation CWE-327: Use of a Broken or Risky Cryptographic Algorithm •
CVE-2019-11721
https://notcve.org/view.php?id=CVE-2019-11721
The unicode latin 'kra' character can be used to spoof a standard 'k' character in the addressbar. This allows for domain spoofing attacks as do not display as punycode text, allowing for user confusion. This vulnerability affects Firefox < 68. El carácter latino 'kra' de Unicode puede ser usado para falsificar un carácter 'k' estándar en la barra de direcciones. Esto permite que los ataques de suplantación de dominio no se muestren como texto de código púny, lo que permite la confusión del usuario. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html https://bugzilla.mozilla.org/show_bug.cgi?id=1256009 https://security.gentoo.org/glsa/201908-12 https://www.mozilla.org/security/advisories/mfsa2019-21 •