CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5108
https://notcve.org/view.php?id=CVE-2018-5108
A Blob URL can violate origin attribute segregation, allowing it to be accessed from a private browsing tab and for data to be passed between the private browsing tab and a normal tab. This could allow for the leaking of private information specific to the private browsing context. This issue is mitigated by the requirement that the user enter the Blob URL manually in order for the access violation to occur. This vulnerability affects Firefox < 58. Una URL Blob puede violar la segregación del atributo origin, permitiendo que se acceda desde una pestaña de navegación privada y que se pasen los datos entre la pestaña de navegación privada y una pestaña normal. • http://www.securityfocus.com/bid/102786 http://www.securitytracker.com/id/1040270 https://bugzilla.mozilla.org/show_bug.cgi?id=1421099 https://usn.ubuntu.com/3544-1 https://www.mozilla.org/security/advisories/mfsa2018-02 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5106
https://notcve.org/view.php?id=CVE-2018-5106
Style editor traffic in the Developer Tools can be routed through a service worker hosted on a third party website if a user selects error links when these tools are open. This can allow style editor information used within Developer Tools to leak cross-origin. This vulnerability affects Firefox < 58. El tráfico del editor de estilos en las herramientas del desarrollador se puede enrutar mediante un trabajador de servicio alojado en un sitio web externo si un usuario selecciona enlaces de error cuando estas herramientas están abiertas. Esto puede permitir que la información del editor de estilos utilizada en las herramientas del desarrollador fugue orígenes cruzados. • http://www.securityfocus.com/bid/102786 http://www.securitytracker.com/id/1040270 https://bugzilla.mozilla.org/show_bug.cgi?id=1408708 https://usn.ubuntu.com/3544-1 https://www.mozilla.org/security/advisories/mfsa2018-02 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5115
https://notcve.org/view.php?id=CVE-2018-5115
If an HTTP authentication prompt is triggered by a background network request from a page or extension, it is displayed over the currently loaded foreground page. Although the prompt contains the real domain making the request, this can result in user confusion about the originating site of the authentication request and may cause users to mistakenly send private credential information to a third party site. This vulnerability affects Firefox < 58. Si una petición de autenticación HTTP es activada por una petición de red en segundo plano desde una página o extensión, se muestra sobre la página en primer plano cargada actualmente. Aunque el menaje contiene el dominio real que realiza la petición, esto puede provocar confusión en el usuario sobre el sitio de origen de la petición de autenticación y puede hacer que los usuarios envíen erróneamente información de credenciales privadas a un sitio externo. • http://www.securityfocus.com/bid/102786 http://www.securitytracker.com/id/1040270 https://bugzilla.mozilla.org/show_bug.cgi?id=1409449 https://usn.ubuntu.com/3544-1 https://www.mozilla.org/security/advisories/mfsa2018-02 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5111
https://notcve.org/view.php?id=CVE-2018-5111
When the text of a specially formatted URL is dragged to the addressbar from page content, the displayed URL can be spoofed to show a different site than the one loaded. This allows for phishing attacks where a malicious page can spoof the identify of another site. This vulnerability affects Firefox < 58. Cuando el texto de una URL especialmente formateada se arrastra a la barra de dirección desde el contenido de la página, la URL mostrada se puede suplantar para mostrar un sitio diferente que el que se ha cargado. Esto permite que se realicen ataques de phishing en los que una página maliciosa puede suplantar la identidad de otro sitio. • http://www.securityfocus.com/bid/102786 http://www.securitytracker.com/id/1040270 https://bugzilla.mozilla.org/show_bug.cgi?id=1321619 https://usn.ubuntu.com/3544-1 https://www.mozilla.org/security/advisories/mfsa2018-02 • CWE-20: Improper Input Validation •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5105
https://notcve.org/view.php?id=CVE-2018-5105
WebExtensions can bypass user prompts to first save and then open an arbitrarily downloaded file. This can result in an executable file running with local user privileges without explicit user consent. This vulnerability affects Firefox < 58. WebExtensions puede omitir los mensajes de diálogo del usuario para primero guardar y luego abrir un archivo descargado arbitrariamente. Esto puede resultar en la ejecución de un archivo ejecutable con privilegios de usuario locales sin el consentimiento explícito del usuario. • http://www.securityfocus.com/bid/102786 http://www.securitytracker.com/id/1040270 https://bugzilla.mozilla.org/show_bug.cgi?id=1390882 https://usn.ubuntu.com/3544-1 https://www.mozilla.org/security/advisories/mfsa2018-02 •