CVSS: 4.3EPSS: 0%CPEs: 85EXPL: 0CVE-2010-0171 – firefox/thunderbird/seamonkey: XSS using addEventListener and setTimeout on a wrapped object (MFSA 2010-12)
https://notcve.org/view.php?id=CVE-2010-0171
Mozilla Firefox 3.0.x before 3.0.18, 3.5.x before 3.5.8, and 3.6.x before 3.6.2; Thunderbird before 3.0.2; and SeaMonkey before 2.0.3 allow remote attackers to perform cross-origin keystroke capture, and possibly conduct cross-site scripting (XSS) attacks, by using the addEventListener and setTimeout functions in conjunction with a wrapped object. NOTE: this vulnerability exists because of an incomplete fix for CVE-2007-3736. Mozilla Firefox v3.0.x anterior a v3.0.18, v3.5.x anterior a v3.5.8 y v3.6.x anterior a v3.6.2; Thunderbird anterior a v3.0.2 y SeaMonkey anterior a v2.0.3 permiten a atacantes remotos realizar capturas de pulsaciones de teclado de origen cruzado y puede que realizar ataques de secuencias de comandos en sitios cruzados (XSS), utilizando las funciones addEventListener y setTimeout junto con un objeto embebido. NOTA: La existencia de esta vulnerabilidad se debe a una incompleta solución de CVE-2007-3736. • http://www.mozilla.org/security/announce/2010/mfsa2010-12.html http://www.securityfocus.com/bid/38918 http://www.vupen.com/english/advisories/2010/0692 https://bugzilla.mozilla.org/show_bug.cgi?id=531364 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10773 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7743 https://access.redhat.com/security/cve/CVE-2010-0171 https://bugzilla.redhat.com/show_bug.cgi?id=576696 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.3EPSS: 24%CPEs: 85EXPL: 1CVE-2010-0167 – Mozilla Firefox/Thunderbird/SeaMonkey - Multiple Memory Corruption Vulnerabilities
https://notcve.org/view.php?id=CVE-2010-0167
The browser engine in Mozilla Firefox 3.0.x before 3.0.18, 3.5.x before 3.5.8, and 3.6.x before 3.6.2; Thunderbird before 3.0.2; and SeaMonkey before 2.0.3 allows remote attackers to cause a denial of service (memory corruption and application crash) and possibly execute arbitrary code via vectors related to (1) layout/generic/nsBlockFrame.cpp and (2) the _evaluate function in modules/plugin/base/src/nsNPAPIPlugin.cpp. El motor de navegación en Mozilla Firefox v3.0.x anterior a la v3.0.18 y 3.5.x anterior a la v3.5.8, y v3.6.x anterior a v3.6.2; Thunderbird anterior a la v3.0.2, y SeaMonkey anterior a la v2.0.3 permite a atacantes remotos provocar una denegación de servicio (corrupción de memoria y caída de la aplicación) y posiblemente ejecutar código de su elección a través de vectores relativos a (1) layout/generic/nsBlockFrame.cpp y (2) la función _evaluate en modules/plugin/base/src/nsNPAPIPlugin.cpp. Mozilla Firefox / Thunderbird / Seamonkey all suffer from multiple memory corruption vulnerabilities. • https://www.exploit-db.com/exploits/33801 http://www.mandriva.com/security/advisories?name=MDVSA-2010:070 http://www.mozilla.org/security/announce/2010/mfsa2010-11.html http://www.securityfocus.com/bid/38918 http://www.securityfocus.com/bid/38944 http://www.vupen.com/english/advisories/2010/0692 https://bugzilla.mozilla.org/show_bug.cgi?id=534082 https://bugzilla.mozilla.org/show_bug.cgi?id=535641 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Ade • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 5.0EPSS: 1%CPEs: 85EXPL: 0CVE-2010-0169 – firefox/thunderbird/seamonkey: browser chrome defacement via cached XUL stylesheets (MFSA 2010-14)
https://notcve.org/view.php?id=CVE-2010-0169
The CSSLoaderImpl::DoSheetComplete function in layout/style/nsCSSLoader.cpp in Mozilla Firefox 3.0.x before 3.0.18, 3.5.x before 3.5.8, and 3.6.x before 3.6.2; Thunderbird before 3.0.2; and SeaMonkey before 2.0.3 changes the case of certain strings in a stylesheet before adding this stylesheet to the XUL cache, which might allow remote attackers to modify the browser's font and other CSS attributes, and potentially disrupt rendering of a web page, by forcing the browser to perform this erroneous stylesheet caching. La función CSSLoaderImpl::DoSheetComplete en layout/style/nsCSSLoader.cpp en Mozilla Firefox v3.0.x anterior a v3.0.18, v3.5.x anterior a v3.5.8, y v3.6.x anterior a v3.6.2; Thunderbird anterior a v3.0.2; y SeaMonkey anterior a v2.0.3 cambia la caja de ciertas cadenas en la hoja de estilos antes de añadirla a la cache XUL, lo que permite a atacantes remotos modificar las fuentes del navegador y otros atributos CSS, y potencialmente interrumpir el renderizado de una pagina web, forzando al navegador a cachear la hoja de estilos incorrecta. • http://www.mozilla.org/security/announce/2010/mfsa2010-14.html http://www.securityfocus.com/bid/38918 http://www.vupen.com/english/advisories/2010/0692 https://bugzilla.mozilla.org/show_bug.cgi?id=535806 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11391 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A8431 https://access.redhat.com/security/cve/CVE-2010-0169 https://bugzilla.redhat.com/show_bug.cgi?id=576694 •
CVSS: 4.3EPSS: 1%CPEs: 91EXPL: 0CVE-2010-0161
https://notcve.org/view.php?id=CVE-2010-0161
The nsAuthSSPI::Unwrap function in extensions/auth/nsAuthSSPI.cpp in Mozilla Thunderbird before 2.0.0.24 and SeaMonkey before 1.1.19 on Windows Vista, Windows Server 2008 R2, and Windows 7 allows remote SMTP, IMAP, and POP servers to cause a denial of service (heap memory corruption and application crash) or possibly execute arbitrary code via crafted data in a session that uses SSPI. La función nsAuthSSPI::Unwrap en extensions/auth/nsAuthSSPI.cpp en Mozilla Thunderbird anteriores a v2.0.0.24 y SeaMonkey anteriores a v1.1.19 en Windows Vista, Windows Server 2008 R2, y Windows 7 permite a servidores SMTP, IMAP y POP, provocar una denegación de servicio (corrupción de memoria dinámica y caída de la aplicación) o posiblemente ejecución de código remoto a través de datos manipulados en una sesión que utiliza SSPI. • http://lists.opensuse.org/opensuse-security-announce/2010-06/msg00001.html http://secunia.com/advisories/39001 http://www.mozilla.org/security/announce/2010/mfsa2010-07.html http://www.securityfocus.com/bid/38831 http://www.vupen.com/english/advisories/2010/0648 https://bugzilla.mozilla.org/show_bug.cgi?id=511806 https://exchange.xforce.ibmcloud.com/vulnerabilities/56992 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14159 • CWE-399: Resource Management Errors •
CVSS: 6.8EPSS: 6%CPEs: 92EXPL: 0CVE-2010-0163 – seamonkey/thunderbird: crash when indexing certain messages with attachments
https://notcve.org/view.php?id=CVE-2010-0163
Mozilla Thunderbird before 2.0.0.24 and SeaMonkey before 1.1.19 process e-mail attachments with a parser that performs casts and line termination incorrectly, which allows remote attackers to cause a denial of service (application crash) or possibly execute arbitrary code via a crafted message, related to message indexing. Mozilla Thunderbird anteriores a la v2.0.0.24 y SeaMonkey anteriores a la v1.1.19 procesa ficheros adjuntos a correos electrónicos con un analizados sintáctico que realiza repartos y terminaciones de línea de forma incorrecta, lo que permite a atacantes remotos provocar una denegación de servicio (caída de aplicación) y posiblemente ejecución de código de su elección a través de un mensaje manipulado, relativo a la indexación de mensajes. • http://lists.opensuse.org/opensuse-security-announce/2010-06/msg00001.html http://secunia.com/advisories/38977 http://secunia.com/advisories/39001 http://www.mozilla.org/security/announce/2010/mfsa2010-07.html http://www.redhat.com/support/errata/RHSA-2010-0499.html http://www.securityfocus.com/bid/38831 http://www.ubuntu.com/usn/USN-915-1 http://www.vupen.com/english/advisories/2010/0648 http://www.vupen.com/english/advisories/2010/1556 https://bugzilla.mozilla.org/sh •