CVSS: 8.8EPSS: 4%CPEs: 1EXPL: 0CVE-2016-5255
https://notcve.org/view.php?id=CVE-2016-5255
Use-after-free vulnerability in the js::PreliminaryObjectArray::sweep function in Mozilla Firefox before 48.0 allows remote attackers to execute arbitrary code via crafted JavaScript that is mishandled during incremental garbage collection. Vulnerabilidad de uso después de liberación de memoria en la función js::PreliminaryObjectArray::sweep en Mozilla Firefox en versiones anteriores a 48.0 permite a atacantes remotos ejecutar código arbitrario a través de JavaScript manipulado que es manejado incorrectamente durante la recolección de basura. • http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00004.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00029.html http://www.mozilla.org/security/announce/2016/mfsa2016-71.html http://www.securityfocus.com/bid/92260 http://www.securitytracker.com/id/1036508 http://www.ubuntu.com/usn/USN-3044-1 https://bugzilla.mozilla.org/show_bug.cgi?id=1212356 https://security.gentoo.org/glsa/201701-15 • CWE-416: Use After Free •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2016-5267
https://notcve.org/view.php?id=CVE-2016-5267
Mozilla Firefox before 48.0 on Android allows remote attackers to spoof the address bar via left-to-right characters in conjunction with a right-to-left character set. Mozilla Firefox en versiones anteriores a 48.0 en Android permite a atacantes remotos suplantar la barra de direcciones a través de caracteres de izquierda a derecha en conjunción con un set de caracteres derecha a izquierda. • http://www.mozilla.org/security/announce/2016/mfsa2016-82.html http://www.securityfocus.com/bid/92260 http://www.securitytracker.com/id/1036508 https://bugzilla.mozilla.org/show_bug.cgi?id=1284372 https://security.gentoo.org/glsa/201701-15 • CWE-20: Improper Input Validation •
CVSS: 6.5EPSS: 2%CPEs: 7EXPL: 0CVE-2016-2839
https://notcve.org/view.php?id=CVE-2016-2839
Mozilla Firefox before 48.0 and Firefox ESR 45.x before 45.3 on Linux make cairo _cairo_surface_get_extents calls that do not properly interact with libav header allocation in FFmpeg 0.10, which allows remote attackers to cause a denial of service (application crash) via a crafted video. Mozilla Firefox en versiones anteriores a 48.0 y Firefox ESR 45.x en versiones anteriores a 45.3 en Linux hace llamadas cairo _cairo_surface_get_extents que no interactúan adecuadamente con asignación de cabecera libav en FFmpeg 0.10, lo que permite a atacantes remotos provocar una denegación de servicio (caída de aplicación) a través de un vídeo manipulado. • http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00004.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00029.html http://www.mozilla.org/security/announce/2016/mfsa2016-65.html http://www.securityfocus.com/bid/92261 http://www.securitytracker.com/id/1036508 http://www.ubuntu.com/usn/USN-3044-1 https://bugzilla.mozilla.org/show_bug.cgi?id=1275339 https://security.gentoo.org/glsa/201701-15 • CWE-20: Improper Input Validation •
CVSS: 4.7EPSS: 0%CPEs: 1EXPL: 0CVE-2016-5253
https://notcve.org/view.php?id=CVE-2016-5253
The Updater in Mozilla Firefox before 48.0 on Windows allows local users to write to arbitrary files via vectors involving the callback application-path parameter and a hard link. El Updater en Mozilla Firefox en versiones anteriores a 48.0 en Windows permite a usuarios locales escribir a archivos arbitrarios a través de vectores que involucran el parámetro de aplicación de ruta de llamada de retorno y un enlace duro. • http://www.mozilla.org/security/announce/2016/mfsa2016-69.html http://www.securityfocus.com/bid/92260 http://www.securitytracker.com/id/1036508 https://bugzilla.mozilla.org/show_bug.cgi?id=1246944 https://security.gentoo.org/glsa/201701-15 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-5260
https://notcve.org/view.php?id=CVE-2016-5260
Mozilla Firefox before 48.0 mishandles changes from 'INPUT type="password"' to 'INPUT type="text"' within a single Session Manager session, which might allow attackers to discover cleartext passwords by reading a session restoration file. Mozilla Firefox en versiones anteriores a 48.0 no maneja correctamente cambios de 'INPUT type="password"' a 'INPUT type="text"' dentro de una sola sesión Session Manager, lo que podría permitir a atacantes descubrir contraseñas en texto plano mediante la lectura de un archivo de restauración de sesión. • http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00004.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00029.html http://www.mozilla.org/security/announce/2016/mfsa2016-74.html http://www.securityfocus.com/bid/92260 http://www.securitytracker.com/id/1036508 http://www.ubuntu.com/usn/USN-3044-1 https://bugzilla.mozilla.org/show_bug.cgi?id=1280294 https://security.gentoo.org/glsa/201701-15 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •