CVSS: 5.1EPSS: 0%CPEs: 212EXPL: 0CVE-2010-2769 – Mozilla Copy-and-paste or drag-and-drop into designMode document allows XSS (MFSA 2010-62)
https://notcve.org/view.php?id=CVE-2010-2769
Cross-site scripting (XSS) vulnerability in Mozilla Firefox before 3.5.12 and 3.6.x before 3.6.9, Thunderbird before 3.0.7 and 3.1.x before 3.1.3, and SeaMonkey before 2.0.7 allows user-assisted remote attackers to inject arbitrary web script or HTML via a selection that is added to a document in which the designMode property is enabled. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Mozilla Firefox anterior a v3.5.12 y v3.6.x anterior a v3.6.9, Thunderbird anterior a v3.0.7 y v3.1.x anterior a v3.1.3, y SeaMonkey anterior a v2.0.7 permite a atacantes remotos ayudados por el usuario para inyectar web script o HTML a través de una selección que se agrega a un documento en el que se habilita la propiedad designMode. • http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_mozilla_firefox http://lists.fedoraproject.org/pipermail/package-announce/2010-September/047282.html http://lists.opensuse.org/opensuse-security-announce/2010-10/msg00002.html http://secunia.com/advisories/42867 http://support.avaya.com/css/P8/documents/100112690 http://www.debian.org/security/2010/dsa-2106 http://www.mandriva.com/security/advisories?name=MDVSA-2010:173 http://www.mozilla.org/security/announce/2010/mfsa2010-62.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.3EPSS: 14%CPEs: 212EXPL: 4CVE-2010-3131 – Mozilla Firefox 3.6.8 - 'dwmapi.dll' DLL Hijacking
https://notcve.org/view.php?id=CVE-2010-3131
Untrusted search path vulnerability in Mozilla Firefox before 3.5.12 and 3.6.x before 3.6.9, Thunderbird before 3.0.7 and 3.1.x before 3.1.3, and SeaMonkey before 2.0.7 on Windows XP allows local users, and possibly remote attackers, to execute arbitrary code and conduct DLL hijacking attacks via a Trojan horse dwmapi.dll that is located in the same folder as a .htm, .html, .jtx, .mfp, or .eml file. Una vulnerabilidad de ruta de búsqueda no confiable en Firefox anterior a versión 3.5.12 y versiones 3.6.x anteriores a 3.6.9, Thunderbird anteriores a versión 3.0.7 y versiones 3.1.x anteriores a 3.1.3, y SeaMonkey anterior a versión 2.0.7, de Mozilla sobre Windows XP, permite a usuarios locales, y posiblemente remotos atacantes, para ejecutar código arbitrario y conducir ataques de secuestro de DLL por medio de un archivo dwmapi.dll de tipo caballo de Troya que se encuentra en la misma carpeta que un archivo .htm, .html, .jtx, .mfp o .eml. • https://www.exploit-db.com/exploits/14730 https://www.exploit-db.com/exploits/14783 http://lists.opensuse.org/opensuse-security-announce/2010-10/msg00002.html http://secunia.com/advisories/41095 http://secunia.com/advisories/41168 http://www.exploit-db.com/exploits/14730 http://www.exploit-db.com/exploits/14783 http://www.mozilla.org/security/announce/2010/mfsa2010-52.html http://www.securityfocus.com/archive/1/513324/100/0/threaded http://www.vupen.com/english/advisories& •
CVSS: 5.1EPSS: 0%CPEs: 191EXPL: 0CVE-2010-1210 – Mozilla Characters mapped to U+FFFD in 8 bit encodings cause subsequent character to vanish
https://notcve.org/view.php?id=CVE-2010-1210
intl/uconv/util/nsUnicodeDecodeHelper.cpp in Mozilla Firefox before 3.6.7 and Thunderbird before 3.1.1 inserts a U+FFFD sequence into text in certain circumstances involving undefined positions, which might make it easier for remote attackers to conduct cross-site scripting (XSS) attacks via crafted 8-bit text. intl/uconv/util/nsUnicodeDecodeHelper.cpp en Mozilla Firefox en versiones anteriores a la v3.6.7 y Thunderbird en anteriores a la v3.1.1 inserta una secuencia U+FFFD en texto en determinadas circunstancias en posiciones indefinidas, lo que facilita a atacantes remotos ejecutar ataques de secuencias de comandos en sitios cruzados (XSS) a través de un texto de 8 bit modificado. • http://www.mozilla.org/security/announce/2010/mfsa2010-44.html https://bugzilla.mozilla.org/show_bug.cgi?id=564679 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11863 https://access.redhat.com/security/cve/CVE-2010-1210 https://bugzilla.redhat.com/show_bug.cgi?id=615474 • CWE-20: Improper Input Validation •
CVSS: 6.8EPSS: 0%CPEs: 6EXPL: 0CVE-2010-1215 – Mozilla Arbitrary code execution using SJOW and fast native function
https://notcve.org/view.php?id=CVE-2010-1215
Mozilla Firefox 3.6.x before 3.6.7 and Thunderbird 3.1.x before 3.1.1 do not properly implement access to a content object through a SafeJSObjectWrapper (aka SJOW) wrapper, which allows remote attackers to execute arbitrary JavaScript code with chrome privileges by leveraging "access to an object from the chrome scope." Mozilla Firefox v3.6.x anteriores a la v3.6.7 y Thunderbird v3.1.x anteriores a la v3.1.1 no implementan apropiadamente el acceso a un objeto de contenido a través de un "wrapper" (encapsulador) SafeJSObjectWrapper (SJOW), lo que permite a atacantes remotos ejecutar código JavaScript de su elección con privilegios chrome usando "acceso a un objeto desde el scope (alcance) chrome". • http://www.mozilla.org/security/announce/2010/mfsa2010-38.html https://bugzilla.mozilla.org/show_bug.cgi?id=567069 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11527 https://access.redhat.com/security/cve/CVE-2010-1215 https://bugzilla.redhat.com/show_bug.cgi?id=615463 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 5.1EPSS: 0%CPEs: 6EXPL: 0CVE-2010-1207 – Mozilla Same-origin bypass using canvas context
https://notcve.org/view.php?id=CVE-2010-1207
Mozilla Firefox before 3.6.7 and Thunderbird before 3.1.1 do not properly implement read restrictions for CANVAS elements, which allows remote attackers to obtain sensitive cross-origin information via vectors involving reference retention and node deletion. Mozilla Firefox en versiones anteriores a la v3.6.7 y Thunderbird en versiones anteriores a la v3.1.1 no implementan apropiadamente las restricciones de acceso a los elementos CANVAS, lo que permite a atacantes remotos obtener información confidencial fuera de origen a través de vectores de ataque relacionados con la retención de referencias y el borrado de nodos. • http://www.mozilla.org/security/announce/2010/mfsa2010-43.html https://bugzilla.mozilla.org/show_bug.cgi?id=571287 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11887 https://access.redhat.com/security/cve/CVE-2010-1207 https://bugzilla.redhat.com/show_bug.cgi?id=615472 • CWE-264: Permissions, Privileges, and Access Controls •