CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-5260
https://notcve.org/view.php?id=CVE-2016-5260
Mozilla Firefox before 48.0 mishandles changes from 'INPUT type="password"' to 'INPUT type="text"' within a single Session Manager session, which might allow attackers to discover cleartext passwords by reading a session restoration file. Mozilla Firefox en versiones anteriores a 48.0 no maneja correctamente cambios de 'INPUT type="password"' a 'INPUT type="text"' dentro de una sola sesión Session Manager, lo que podría permitir a atacantes descubrir contraseñas en texto plano mediante la lectura de un archivo de restauración de sesión. • http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00004.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00029.html http://www.mozilla.org/security/announce/2016/mfsa2016-74.html http://www.securityfocus.com/bid/92260 http://www.securitytracker.com/id/1036508 http://www.ubuntu.com/usn/USN-3044-1 https://bugzilla.mozilla.org/show_bug.cgi?id=1280294 https://security.gentoo.org/glsa/201701-15 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2016-5266
https://notcve.org/view.php?id=CVE-2016-5266
Mozilla Firefox before 48.0 does not properly restrict drag-and-drop (aka dataTransfer) actions for file: URIs, which allows user-assisted remote attackers to access local files via a crafted web site. Mozilla Firefox en versiones anteriores a 48.0 no restringe adecuadamente acciones arrastrar y soltar (también conocido como dataTransfer) para file: URIs, lo que permite a atacantes remotos asistidos por usuario acceder a archivos locales a través de un sitio web manipulado. • http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00004.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00029.html http://www.mozilla.org/security/announce/2016/mfsa2016-81.html http://www.securityfocus.com/bid/92260 http://www.securitytracker.com/id/1036508 http://www.ubuntu.com/usn/USN-3044-1 https://bugzilla.mozilla.org/show_bug.cgi?id=1226977 https://security.gentoo.org/glsa/201701-15 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 8.8EPSS: 2%CPEs: 1EXPL: 0CVE-2016-2835
https://notcve.org/view.php?id=CVE-2016-2835
Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 48.0 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors. Multiples vulnerabilidades no especificadas en el motor del navegador en Mozilla Firefox en versiones anteriores a 48.0 permite a atacantes remotos provocar una denegación de servicio (corrupción de memoria y caída de aplicación) o posiblemente ejecutar código arbitrario a través de vectores desconocidos. • http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00004.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00029.html http://www.mozilla.org/security/announce/2016/mfsa2016-62.html http://www.securityfocus.com/bid/92261 http://www.securitytracker.com/id/1036508 http://www.ubuntu.com/usn/USN-3044-1 https://bugzilla.mozilla.org/show_bug.cgi?id=1222101 https://bugzilla.mozilla.org/show_bug.cgi?id=1251308 https://bugzilla.mozilla.org/show_bug.cgi?id&# •
CVSS: 8.8EPSS: 4%CPEs: 1EXPL: 0CVE-2016-5255
https://notcve.org/view.php?id=CVE-2016-5255
Use-after-free vulnerability in the js::PreliminaryObjectArray::sweep function in Mozilla Firefox before 48.0 allows remote attackers to execute arbitrary code via crafted JavaScript that is mishandled during incremental garbage collection. Vulnerabilidad de uso después de liberación de memoria en la función js::PreliminaryObjectArray::sweep en Mozilla Firefox en versiones anteriores a 48.0 permite a atacantes remotos ejecutar código arbitrario a través de JavaScript manipulado que es manejado incorrectamente durante la recolección de basura. • http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00004.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00029.html http://www.mozilla.org/security/announce/2016/mfsa2016-71.html http://www.securityfocus.com/bid/92260 http://www.securitytracker.com/id/1036508 http://www.ubuntu.com/usn/USN-3044-1 https://bugzilla.mozilla.org/show_bug.cgi?id=1212356 https://security.gentoo.org/glsa/201701-15 • CWE-416: Use After Free •
CVSS: 6.5EPSS: 2%CPEs: 7EXPL: 0CVE-2016-2839
https://notcve.org/view.php?id=CVE-2016-2839
Mozilla Firefox before 48.0 and Firefox ESR 45.x before 45.3 on Linux make cairo _cairo_surface_get_extents calls that do not properly interact with libav header allocation in FFmpeg 0.10, which allows remote attackers to cause a denial of service (application crash) via a crafted video. Mozilla Firefox en versiones anteriores a 48.0 y Firefox ESR 45.x en versiones anteriores a 45.3 en Linux hace llamadas cairo _cairo_surface_get_extents que no interactúan adecuadamente con asignación de cabecera libav en FFmpeg 0.10, lo que permite a atacantes remotos provocar una denegación de servicio (caída de aplicación) a través de un vídeo manipulado. • http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00004.html http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00029.html http://www.mozilla.org/security/announce/2016/mfsa2016-65.html http://www.securityfocus.com/bid/92261 http://www.securitytracker.com/id/1036508 http://www.ubuntu.com/usn/USN-3044-1 https://bugzilla.mozilla.org/show_bug.cgi?id=1275339 https://security.gentoo.org/glsa/201701-15 • CWE-20: Improper Input Validation •