CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2017-5414
https://notcve.org/view.php?id=CVE-2017-5414
The file picker dialog can choose and display the wrong local default directory when instantiated. On some operating systems, this can lead to information disclosure, such as the operating system or the local account name. This vulnerability affects Firefox < 52 and Thunderbird < 52. El diálogo file picker puede elegir y mostrar el directorio local por defecto equivocado cuando se instancia. En algunos sistemas operativos, esto puede conducir a una divulgación de información, como el sistema operativo o el nombre de la cuenta local. • http://www.securityfocus.com/bid/96692 http://www.securitytracker.com/id/1037966 https://bugzilla.mozilla.org/show_bug.cgi?id=1319370 https://www.mozilla.org/security/advisories/mfsa2017-05 https://www.mozilla.org/security/advisories/mfsa2017-09 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.3EPSS: 2%CPEs: 1EXPL: 3CVE-2017-5415 – Mozilla Firefox - Address Bar Spoofing
https://notcve.org/view.php?id=CVE-2017-5415
An attack can use a blob URL and script to spoof an arbitrary addressbar URL prefaced by "blob:" as the protocol, leading to user confusion and further spoofing attacks. This vulnerability affects Firefox < 52. Un atacante puede utilizar una URL y script blob para suplantar una URL arbitraria de la barra de direcciones precedida por "blob:" como protocolo, lo que conduce a una confusión de usuario y a más ataques de suplantación. La vulnerabilidad afecta a Firefox en versiones anteriores a la 52. • https://www.exploit-db.com/exploits/44266 https://github.com/649/CVE-2017-5415 http://www.securityfocus.com/bid/96692 http://www.securitytracker.com/id/1037966 https://bugzilla.mozilla.org/show_bug.cgi?id=1321719 https://www.mozilla.org/security/advisories/mfsa2017-05 • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2017-5403
https://notcve.org/view.php?id=CVE-2017-5403
When adding a range to an object in the DOM, it is possible to use "addRange" to add the range to an incorrect root object. This triggers a use-after-free, resulting in a potentially exploitable crash. This vulnerability affects Firefox < 52 and Thunderbird < 52. Al añadir un rango a un objeto en el DOM, es posible utilizar "addRange" para añadir el rango a un objeto root incorrecto. Esto desencadena un uso de memoria previamente liberada, lo que resulta en un cierre inesperado potencialmente explotable. • http://www.securityfocus.com/bid/96691 http://www.securitytracker.com/id/1037966 https://bugzilla.mozilla.org/show_bug.cgi?id=1340186 https://www.mozilla.org/security/advisories/mfsa2017-05 https://www.mozilla.org/security/advisories/mfsa2017-09 • CWE-416: Use After Free •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5381
https://notcve.org/view.php?id=CVE-2017-5381
The "export" function in the Certificate Viewer can force local filesystem navigation when the "common name" in a certificate contains slashes, allowing certificate content to be saved in unsafe locations with an arbitrary filename. This vulnerability affects Firefox < 51. La función "export" en el visor de certificados puede forzar la navegación por el sistema de archivos local cuando el "common name" en un certificado contiene barras diagonales, lo que permite guardar el contenido de los certificados en ubicaciones inseguras con un nombre de archivo arbitrario. La vulnerabilidad afecta a Firefox en versiones anteriores a la 51. • http://www.securityfocus.com/bid/95763 http://www.securitytracker.com/id/1037693 https://bugzilla.mozilla.org/show_bug.cgi?id=1017616 https://www.mozilla.org/security/advisories/mfsa2017-01 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5391
https://notcve.org/view.php?id=CVE-2017-5391
Special "about:" pages used by web content, such as RSS feeds, can load privileged "about:" pages in an iframe. If a content-injection bug were found in one of those pages this could allow for potential privilege escalation. This vulnerability affects Firefox < 51. Las páginas "about:" especiales empleadas por el contenido web, como los feeds RSS, pueden cargar páginas "about:" privilegiadas en un iframe. Si se descubriese un error de inyección de contenidos en una de esas páginas, esto podría permitir un potencial escalado de privilegios. • http://www.securityfocus.com/bid/95763 http://www.securitytracker.com/id/1037693 https://bugzilla.mozilla.org/show_bug.cgi?id=1309310 https://www.mozilla.org/security/advisories/mfsa2017-01 •