CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2017-5414
https://notcve.org/view.php?id=CVE-2017-5414
The file picker dialog can choose and display the wrong local default directory when instantiated. On some operating systems, this can lead to information disclosure, such as the operating system or the local account name. This vulnerability affects Firefox < 52 and Thunderbird < 52. El diálogo file picker puede elegir y mostrar el directorio local por defecto equivocado cuando se instancia. En algunos sistemas operativos, esto puede conducir a una divulgación de información, como el sistema operativo o el nombre de la cuenta local. • http://www.securityfocus.com/bid/96692 http://www.securitytracker.com/id/1037966 https://bugzilla.mozilla.org/show_bug.cgi?id=1319370 https://www.mozilla.org/security/advisories/mfsa2017-05 https://www.mozilla.org/security/advisories/mfsa2017-09 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5381
https://notcve.org/view.php?id=CVE-2017-5381
The "export" function in the Certificate Viewer can force local filesystem navigation when the "common name" in a certificate contains slashes, allowing certificate content to be saved in unsafe locations with an arbitrary filename. This vulnerability affects Firefox < 51. La función "export" en el visor de certificados puede forzar la navegación por el sistema de archivos local cuando el "common name" en un certificado contiene barras diagonales, lo que permite guardar el contenido de los certificados en ubicaciones inseguras con un nombre de archivo arbitrario. La vulnerabilidad afecta a Firefox en versiones anteriores a la 51. • http://www.securityfocus.com/bid/95763 http://www.securitytracker.com/id/1037693 https://bugzilla.mozilla.org/show_bug.cgi?id=1017616 https://www.mozilla.org/security/advisories/mfsa2017-01 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5393
https://notcve.org/view.php?id=CVE-2017-5393
The "mozAddonManager" allows for the installation of extensions from the CDN for addons.mozilla.org, a publicly accessible site. This could allow malicious extensions to install additional extensions from the CDN in combination with an XSS attack on Mozilla AMO sites. This vulnerability affects Firefox < 51. "mozAddonManager" permite la instalación de extensiones del CDN para addons.mozilla.org, un sitio accesible de forma pública. Esto podría permitir que extensiones maliciosas instalen extensiones adicionales del CDN en combinación con un ataque de Cross-Site Scripting (XSS) en sitios Mozilla AMO. • http://www.securityfocus.com/bid/95763 http://www.securitytracker.com/id/1037693 https://bugzilla.mozilla.org/show_bug.cgi?id=1309282 https://www.mozilla.org/security/advisories/mfsa2017-01 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5391
https://notcve.org/view.php?id=CVE-2017-5391
Special "about:" pages used by web content, such as RSS feeds, can load privileged "about:" pages in an iframe. If a content-injection bug were found in one of those pages this could allow for potential privilege escalation. This vulnerability affects Firefox < 51. Las páginas "about:" especiales empleadas por el contenido web, como los feeds RSS, pueden cargar páginas "about:" privilegiadas en un iframe. Si se descubriese un error de inyección de contenidos en una de esas páginas, esto podría permitir un potencial escalado de privilegios. • http://www.securityfocus.com/bid/95763 http://www.securitytracker.com/id/1037693 https://bugzilla.mozilla.org/show_bug.cgi?id=1309310 https://www.mozilla.org/security/advisories/mfsa2017-01 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2017-5389
https://notcve.org/view.php?id=CVE-2017-5389
WebExtensions could use the "mozAddonManager" API by modifying the CSP headers on sites with the appropriate permissions and then using host requests to redirect script loads to a malicious site. This allows a malicious extension to then install additional extensions without explicit user permission. This vulnerability affects Firefox < 51. WebExtensions podría emplear la API "mozAddonManager" modificando las cabeceras CSP en los sitios con los permisos apropiados y después empleando peticiones host para redireccionar cargas de scripts a un sitio malicioso. Esto permite que una extensión maliciosa instale extensiones adicionales sin el permiso explícito del usuario. • http://www.securityfocus.com/bid/95763 http://www.securitytracker.com/id/1037693 https://bugzilla.mozilla.org/show_bug.cgi?id=1308688 https://www.mozilla.org/security/advisories/mfsa2017-01 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •