CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5106
https://notcve.org/view.php?id=CVE-2018-5106
Style editor traffic in the Developer Tools can be routed through a service worker hosted on a third party website if a user selects error links when these tools are open. This can allow style editor information used within Developer Tools to leak cross-origin. This vulnerability affects Firefox < 58. El tráfico del editor de estilos en las herramientas del desarrollador se puede enrutar mediante un trabajador de servicio alojado en un sitio web externo si un usuario selecciona enlaces de error cuando estas herramientas están abiertas. Esto puede permitir que la información del editor de estilos utilizada en las herramientas del desarrollador fugue orígenes cruzados. • http://www.securityfocus.com/bid/102786 http://www.securitytracker.com/id/1040270 https://bugzilla.mozilla.org/show_bug.cgi?id=1408708 https://usn.ubuntu.com/3544-1 https://www.mozilla.org/security/advisories/mfsa2018-02 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5115
https://notcve.org/view.php?id=CVE-2018-5115
If an HTTP authentication prompt is triggered by a background network request from a page or extension, it is displayed over the currently loaded foreground page. Although the prompt contains the real domain making the request, this can result in user confusion about the originating site of the authentication request and may cause users to mistakenly send private credential information to a third party site. This vulnerability affects Firefox < 58. Si una petición de autenticación HTTP es activada por una petición de red en segundo plano desde una página o extensión, se muestra sobre la página en primer plano cargada actualmente. Aunque el menaje contiene el dominio real que realiza la petición, esto puede provocar confusión en el usuario sobre el sitio de origen de la petición de autenticación y puede hacer que los usuarios envíen erróneamente información de credenciales privadas a un sitio externo. • http://www.securityfocus.com/bid/102786 http://www.securitytracker.com/id/1040270 https://bugzilla.mozilla.org/show_bug.cgi?id=1409449 https://usn.ubuntu.com/3544-1 https://www.mozilla.org/security/advisories/mfsa2018-02 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5111
https://notcve.org/view.php?id=CVE-2018-5111
When the text of a specially formatted URL is dragged to the addressbar from page content, the displayed URL can be spoofed to show a different site than the one loaded. This allows for phishing attacks where a malicious page can spoof the identify of another site. This vulnerability affects Firefox < 58. Cuando el texto de una URL especialmente formateada se arrastra a la barra de dirección desde el contenido de la página, la URL mostrada se puede suplantar para mostrar un sitio diferente que el que se ha cargado. Esto permite que se realicen ataques de phishing en los que una página maliciosa puede suplantar la identidad de otro sitio. • http://www.securityfocus.com/bid/102786 http://www.securitytracker.com/id/1040270 https://bugzilla.mozilla.org/show_bug.cgi?id=1321619 https://usn.ubuntu.com/3544-1 https://www.mozilla.org/security/advisories/mfsa2018-02 • CWE-20: Improper Input Validation •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5105
https://notcve.org/view.php?id=CVE-2018-5105
WebExtensions can bypass user prompts to first save and then open an arbitrarily downloaded file. This can result in an executable file running with local user privileges without explicit user consent. This vulnerability affects Firefox < 58. WebExtensions puede omitir los mensajes de diálogo del usuario para primero guardar y luego abrir un archivo descargado arbitrariamente. Esto puede resultar en la ejecución de un archivo ejecutable con privilegios de usuario locales sin el consentimiento explícito del usuario. • http://www.securityfocus.com/bid/102786 http://www.securitytracker.com/id/1040270 https://bugzilla.mozilla.org/show_bug.cgi?id=1390882 https://usn.ubuntu.com/3544-1 https://www.mozilla.org/security/advisories/mfsa2018-02 •
CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5116
https://notcve.org/view.php?id=CVE-2018-5116
WebExtensions with the "ActiveTab" permission are able to access frames hosted within the active tab even if the frames are cross-origin. Malicious extensions can inject frames from arbitrary origins into the loaded page and then interact with them, bypassing same-origin user expectations with this permission. This vulnerability affects Firefox < 58. WebExtensions con el permiso "ActiveTab" puede acceder a las tramas alojadas dentro de la pestaña activa incluso si las tramas son de orígenes cruzados. Las extensiones maliciosas pueden inyectar tramas de orígenes arbitrarios en la página cargada y luego interactuar con ellas, evitando las expectativas del usuario del mismo origen con este permiso. • http://www.securityfocus.com/bid/102786 http://www.securitytracker.com/id/1040270 https://bugzilla.mozilla.org/show_bug.cgi?id=1396399 https://usn.ubuntu.com/3544-1 https://www.mozilla.org/security/advisories/mfsa2018-02 • CWE-346: Origin Validation Error •