CVSS: 7.5EPSS: 0%CPEs: 18EXPL: 0CVE-2018-5144 – Mozilla: Integer overflow during Unicode conversion (MFSA 2018-07)
https://notcve.org/view.php?id=CVE-2018-5144
An integer overflow can occur during conversion of text to some Unicode character sets due to an unchecked length parameter. This vulnerability affects Firefox ESR < 52.7 and Thunderbird < 52.7. Se puede producir un desbordamiento de enteros durante la conversión de texto a algunos conjuntos de caracteres Unicode debido a un parámetro de longitud no verificado. Esta vulnerabilidad afecta a las versiones anteriores a la 52.7 de Firefox ESR y las versiones anteriores a la 52.7 de Thunderbird. • http://www.securityfocus.com/bid/103384 http://www.securitytracker.com/id/1040514 https://access.redhat.com/errata/RHSA-2018:0526 https://access.redhat.com/errata/RHSA-2018:0527 https://access.redhat.com/errata/RHSA-2018:0647 https://access.redhat.com/errata/RHSA-2018:0648 https://bugzilla.mozilla.org/show_bug.cgi?id=1440926 https://lists.debian.org/debian-lts-announce/2018/03/msg00010.html https://lists.debian.org/debian-lts-announce/2018/03/msg00029.html https://securi • CWE-190: Integer Overflow or Wraparound •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5142
https://notcve.org/view.php?id=CVE-2018-5142
If Media Capture and Streams API permission is requested from documents with "data:" or "blob:" URLs, the permission notifications do not properly display the originating domain. The notification states "Unknown protocol" as the requestee, leading to user confusion about which site is asking for this permission. This vulnerability affects Firefox < 59. Si se solicita permiso de la API Media Capture and Streams desde documentos con URL "data:" o "blob:", las notificaciones de permiso no muestran correctamente el dominio de origen. La notificación indica "Unknown protocol" (protocolo desconocido) como el solicitante, lo que lleva a la confusión del usuario sobre qué sitio está solicitando este permiso. • http://www.securityfocus.com/bid/103386 http://www.securitytracker.com/id/1040514 https://bugzilla.mozilla.org/show_bug.cgi?id=1366357 https://usn.ubuntu.com/3596-1 https://www.mozilla.org/security/advisories/mfsa2018-06 •
CVSS: 8.2EPSS: 1%CPEs: 4EXPL: 0CVE-2018-5141
https://notcve.org/view.php?id=CVE-2018-5141
A vulnerability in the notifications Push API where notifications can be sent through service workers by web content without direct user interaction. This could be used to open new tabs in a denial of service (DOS) attack or to display unwanted content from arbitrary URLs to users. This vulnerability affects Firefox < 59. Una vulnerabilidad en la API de notificaciones push en donde las notificaciones pueden ser enviadas a través de los service workers por contenido web sin la interacción directa del usuario. Esto se puede utilizar para abrir nuevas pestañas en un ataque de denegación de servicio (DOS) o para mostrar contenido no deseado de URL arbitrarias a los usuarios. • http://www.securityfocus.com/bid/103386 http://www.securitytracker.com/id/1040514 https://bugzilla.mozilla.org/show_bug.cgi?id=1429093 https://usn.ubuntu.com/3596-1 https://www.mozilla.org/security/advisories/mfsa2018-06 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5137
https://notcve.org/view.php?id=CVE-2018-5137
A legacy extension's non-contentaccessible, defined resources can be loaded by an arbitrary web page through script. This script does this by using a maliciously crafted path string to reference the resources. Note: this vulnerability does not affect WebExtensions. This vulnerability affects Firefox < 59. Los recursos definidos y no accesibles de una extensión legacy pueden ser cargados por una página web arbitraria a través de un script. • http://www.securityfocus.com/bid/103386 http://www.securitytracker.com/id/1040514 https://bugzilla.mozilla.org/show_bug.cgi?id=1432870 https://usn.ubuntu.com/3596-1 https://www.mozilla.org/security/advisories/mfsa2018-06 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5128
https://notcve.org/view.php?id=CVE-2018-5128
A use-after-free vulnerability can occur when manipulating elements, events, and selection ranges during editor operations. This results in a potentially exploitable crash. This vulnerability affects Firefox < 59. Puede ocurrir una vulnerabilidad de uso de memoria previamente liberada cuando se manipulan elementos, eventos y rangos de selección durante las operaciones del editor. Esto resulta en un cierre inesperado explotable. • http://www.securityfocus.com/bid/103386 http://www.securitytracker.com/id/1040514 https://bugzilla.mozilla.org/show_bug.cgi?id=1431336 https://usn.ubuntu.com/3596-1 https://www.mozilla.org/security/advisories/mfsa2018-06 • CWE-416: Use After Free •