CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-9805
https://notcve.org/view.php?id=CVE-2019-9805
A latent vulnerability exists in the Prio library where data may be read from uninitialized memory for some functions, leading to potential memory corruption. This vulnerability affects Firefox < 66. Existe una vulnerabilidad latente en la libreria Prio, donde los datos pueden leerse desde la memoria no inicializada para algunas funciones, lo que puede dar lugar a una posible corrupción de la memoria. Esta vulnerabilidad afecta a Firefox versiones anteriores a la 66. • https://bugzilla.mozilla.org/show_bug.cgi?id=1521360 https://www.mozilla.org/security/advisories/mfsa2019-07 • CWE-908: Use of Uninitialized Resource •
CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 0CVE-2019-9803
https://notcve.org/view.php?id=CVE-2019-9803
The Upgrade-Insecure-Requests (UIR) specification states that if UIR is enabled through Content Security Policy (CSP), navigation to a same-origin URL must be upgraded to HTTPS. Firefox will incorrectly navigate to an HTTP URL rather than perform the security upgrade requested by the CSP in some circumstances, allowing for potential man-in-the-middle attacks on the linked resources. This vulnerability affects Firefox < 66. La especificación de Upgrade-Insecure-Requests (UIR) establece que si la UIR se habilita mediante Content Security Policy (CSP), la navegación a una URL del mismo origen debe actualizarse a HTTPS. Firefox navegará incorrectamente a una URL HTTP en lugar de realizar la actualización de seguridad solicitada por el CSP en algunas circunstancias, lo que permite posibles ataques de intermediarios en los recursos vinculados. • https://bugzilla.mozilla.org/show_bug.cgi?id=1437009 https://bugzilla.mozilla.org/show_bug.cgi?id=1515863 https://w3c.github.io/webappsec-upgrade-insecure-requests https://www.mozilla.org/security/advisories/mfsa2019-07 • CWE-346: Origin Validation Error •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-9797 – Mozilla: Cross-origin theft of images with createImageBitmap
https://notcve.org/view.php?id=CVE-2019-9797
Cross-origin images can be read in violation of the same-origin policy by exporting an image after using createImageBitmap to read the image and then rendering the resulting bitmap image within a canvas element. This vulnerability affects Firefox < 66. Las imágenes de origen cruzado se pueden leer infringiendo la política del mismo origen al exportar una imagen después de utilizar createImageBitmap para leer la imagen y luego renderizar la imagen de mapa de bits resultante dentro de un elemento canvas. Esta vulnerabilidad afecta a Firefox, versiones anteriores a 66. • http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00002.html http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00029.html http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00084.html https://access.redhat.com/errata/RHSA-2019:1265 https://access.redhat.com/errata/RHSA-2019:1267 https://access.redhat.com/errata/RHSA-2019:1269 https://access.redhat.com/errata/RHSA-2019:1308 https://access.redhat.com/errata/RHSA-2019:1309 https://access.redhat. • CWE-346: Origin Validation Error CWE-829: Inclusion of Functionality from Untrusted Control Sphere •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-9802
https://notcve.org/view.php?id=CVE-2019-9802
If a Sandbox content process is compromised, it can initiate an FTP download which will then use a child process to render the downloaded data. The downloaded data can then be passed to the Chrome process with an arbitrary file length supplied by an attacker, bypassing sandbox protections and allow for a potential memory read of adjacent data from the privileged Chrome process, which may include sensitive data. This vulnerability affects Firefox < 66. Si un proceso contenido de Sandbox se ve comprometido, puede iniciar una descarga de FTP que luego usará un proceso secundario para procesar los datos descargados. Los datos descargados pueden ser pasados al proceso de Chrome con una longitud de archivo arbitraria proporcionada por un atacante, omitiendo las protecciones de la sandbox y permitiendo una lectura de memoria potencial de datos adyacentes del proceso de Chrome privilegiado, que puede incluir datos confidenciales. • https://bugzilla.mozilla.org/show_bug.cgi?id=1415508 https://www.mozilla.org/security/advisories/mfsa2019-07 • CWE-125: Out-of-bounds Read •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-9808
https://notcve.org/view.php?id=CVE-2019-9808
If WebRTC permission is requested from documents with data: or blob: URLs, the permission notifications do not properly display the originating domain. The notification states "Unknown origin" as the requestee, leading to user confusion about which site is asking for this permission. This vulnerability affects Firefox < 66. Si se solicita el permiso WebRTC de documentos con datos: o BLOB: URL, las notificaciones de permisos no muestran correctamente el dominio de origen. La notificación indica "Unknown origin" como el solicitante, lo que conduce a la confusión del usuario acerca de qué sitio está pidiendo este permiso. • https://bugzilla.mozilla.org/show_bug.cgi?id=1434634 https://www.mozilla.org/security/advisories/mfsa2019-07 • CWE-346: Origin Validation Error •