CVE-2017-7783 – Mozilla Firefox < 55 - Denial of Service
https://notcve.org/view.php?id=CVE-2017-7783
If a long user name is used in a username/password combination in a site URL (such as " http://UserName:Password@example.com"), the resulting modal prompt will hang in a non-responsive state or crash, causing a denial of service. This vulnerability affects Firefox < 55. Si se emplea un nombre de usuario largo en una combinación nombre de usuario/contraseña en una URL de un sitio (como " http://NombreUsuario:Contraseña@ejemplo.com"), el mensaje modal resultante se mantendrá en un estado sin respuesta o se cerrará inesperadamente, provocando una denegación de servicio (DoS). La vulnerabilidad afecta a Firefox en versiones anteriores a la 55. Mozilla Firefox versions prior to 55 suffer from a long username denial of service vulnerability. • https://www.exploit-db.com/exploits/43020 http://www.securityfocus.com/bid/100401 http://www.securitytracker.com/id/1039124 https://bugzilla.mozilla.org/show_bug.cgi?id=1360842 https://www.mozilla.org/security/advisories/mfsa2017-18 • CWE-20: Improper Input Validation •
CVE-2017-7789
https://notcve.org/view.php?id=CVE-2017-7789
If a server sends two Strict-Transport-Security (STS) headers for a single connection, they will be rejected as invalid and HTTP Strict Transport Security (HSTS) will not be enabled for the connection. This vulnerability affects Firefox < 55. Si un servidor envía dos cabeceras Strict-Transport-Security (STS) para una única conexión, serán rechazadas com inválidas y no se habilitará HTTP Strict Transport Security (HSTS) para la conexión. La vulnerabilidad afecta a Firefox en versiones anteriores a la 55. • http://www.securityfocus.com/bid/100374 http://www.securitytracker.com/id/1039124 https://bugzilla.mozilla.org/show_bug.cgi?id=1074642 https://www.mozilla.org/security/advisories/mfsa2017-18 •
CVE-2017-7799
https://notcve.org/view.php?id=CVE-2017-7799
JavaScript in the "about:webrtc" page is not sanitized properly being assigned to "innerHTML". Data on this page is supplied by WebRTC usage and is not under third-party control, making this difficult to exploit, but the vulnerability could possibly be used for a cross-site scripting (XSS) attack. This vulnerability affects Firefox < 55. No se sanea correctamente el JavaScript en la página "about:webrtc" antes de asignarse a "innerHTML". Los datos en esta página son proporcionados por el uso de WebRTC y no está bajo control de terceros, lo que dificulta su explotación, pero la vulnerabilidad podría emplearse para realizar ataques de Cross-Site Scripting (XSS). • http://www.securityfocus.com/bid/100377 http://www.securitytracker.com/id/1039124 https://bugzilla.mozilla.org/show_bug.cgi?id=1372509 https://www.mozilla.org/security/advisories/mfsa2017-18 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-7808
https://notcve.org/view.php?id=CVE-2017-7808
A content security policy (CSP) "frame-ancestors" directive containing origins with paths allows for comparisons against those paths instead of the origin. This results in a cross-origin information leak of this path information. This vulnerability affects Firefox < 55. Una directiva CSP (Content Security Policy) "frame-ancestors" que contiene orígenes con rutas permite comparaciones con dichas rutas en vez de con el origen. Esto resultan en una fuga de información de orígenes cruzados de esta información de rutas. • http://www.securityfocus.com/bid/100373 http://www.securitytracker.com/id/1039124 https://bugzilla.mozilla.org/show_bug.cgi?id=1367531 https://www.mozilla.org/security/advisories/mfsa2017-18 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-346: Origin Validation Error •
CVE-2017-7797
https://notcve.org/view.php?id=CVE-2017-7797
Response header name interning does not have same-origin protections and these headers are stored in a global registry. This allows stored header names to be available cross-origin. This vulnerability affects Firefox < 55. El internamiento de nombres de cabecera de respuesta no tiene protecciones del mismo origen y estas cabeceras se almacenan en un registro global. Esto permite que los nombres de cabecera almacenados estén disponibles mediante Cross-Origin. • http://www.securitytracker.com/id/1039124 https://bugzilla.mozilla.org/show_bug.cgi?id=1334776 https://www.mozilla.org/security/advisories/mfsa2017-18 • CWE-346: Origin Validation Error •