CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7834
https://notcve.org/view.php?id=CVE-2017-7834
A "data:" URL loaded in a new tab did not inherit the Content Security Policy (CSP) of the original page, allowing for bypasses of the policy including the execution of JavaScript. In prior versions when "data:" documents also inherited the context of the original page this would allow for potential cross-site scripting (XSS) attacks. This vulnerability affects Firefox < 57. Una URL "data:" cargada en una nueva pestaña no hereda la política de seguridad de contenido (CSP) de la página original, permitiendo la omisión de la política, incluyendo la ejecución de código JavaScript. Las versiones anteriores, cuando los documentos "data:" también heredaban el contexto de la página original, permitirían ataques Cross-Site Scripting (XSS) potenciales. • http://www.securityfocus.com/bid/101832 http://www.securitytracker.com/id/1039803 https://bugzilla.mozilla.org/show_bug.cgi?id=1358009 https://www.mozilla.org/security/advisories/mfsa2017-24 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7838
https://notcve.org/view.php?id=CVE-2017-7838
Punycode format text will be displayed for entire qualified international domain names in some instances when a sub-domain triggers the punycode display instead of the primary domain being displayed in native script and the sub-domain only displaying as punycode. This could be used for limited spoofing attacks due to user confusion. This vulnerability affects Firefox < 57. El texto de formato punycode se mostrará a todos los nombres de dominio internacionales cualificados en determinadas instancias cuando un subdominio fuerza la aparición del punycode en vez de mostrar el dominio primario en código script nativo y solo mostrar el subdominio como punycode. Esto se podría utilizar para ataques de suplantación limitados gracias a la confusión del usuario. • http://www.securityfocus.com/bid/101832 http://www.securitytracker.com/id/1039803 https://bugzilla.mozilla.org/show_bug.cgi?id=1399540 https://www.mozilla.org/security/advisories/mfsa2017-24 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7835
https://notcve.org/view.php?id=CVE-2017-7835
Mixed content blocking of insecure (HTTP) sub-resources in a secure (HTTPS) document was not correctly applied for resources that redirect from HTTPS to HTTP, allowing content that should be blocked, such as scripts, to be loaded on a page. This vulnerability affects Firefox < 57. Bloqueo de contenido mixto de subrecursos no seguros (HTTP) en un documento seguro (HTTPS) no se ha aplicado correctamente para los recursos que se redirigen de HTTPS a HTTP, permitiendo que el contenido que se debería bloquear, como los scripts, se carguen en una página. Esta vulnerabilidad afecta a las versiones anteriores a la 57 de Firefox. • http://www.securityfocus.com/bid/101832 http://www.securitytracker.com/id/1039803 https://bugzilla.mozilla.org/show_bug.cgi?id=1402363 https://www.mozilla.org/security/advisories/mfsa2017-24 •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7842
https://notcve.org/view.php?id=CVE-2017-7842
If a document's Referrer Policy attribute is set to "no-referrer" sometimes two network requests are made for "<link>" elements instead of one. One of these requests includes the referrer instead of respecting the set policy to not include a referrer on requests. This vulnerability affects Firefox < 57. Si el atributo Referrer Policy de un documento se establece en "no-referrer", a veces se hacen dos peticiones de red para elementos "" en lugar de una. Una de estas peticiones incluye al referrer en lugar de respetar la política establecida de no incluir un referrer en las peticiones. • http://www.securityfocus.com/bid/101832 http://www.securitytracker.com/id/1039803 https://bugzilla.mozilla.org/show_bug.cgi?id=1397064 https://www.mozilla.org/security/advisories/mfsa2017-24 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7833
https://notcve.org/view.php?id=CVE-2017-7833
Some Arabic and Indic vowel marker characters can be combined with Latin characters in a domain name to eclipse the non-Latin character with some font sets on the addressbar. The non-Latin character will not be visible to most viewers. This allows for domain spoofing attacks because these combined domain names do not display as punycode. This vulnerability affects Firefox < 57. Algunos caracteres marcas de vocales árabes e indios se pueden combinar con caracteres latinos en un nombre de dominio para eclipsar caracteres no latinos con algunas familias de fuentes en la barra de direcciones. • http://www.securityfocus.com/bid/101832 http://www.securitytracker.com/id/1039803 https://bugzilla.mozilla.org/show_bug.cgi?id=1370497 https://www.mozilla.org/security/advisories/mfsa2017-24 • CWE-20: Improper Input Validation •