CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2016-1949
https://notcve.org/view.php?id=CVE-2016-1949
Mozilla Firefox before 44.0.2 does not properly restrict the interaction between Service Workers and plugins, which allows remote attackers to bypass the Same Origin Policy via a crafted web site that triggers spoofed responses to requests that use NPAPI, as demonstrated by a request for a crossdomain.xml file. Mozilla Firefox en versiones anteriores a 44.0.2 no restringe correctamente la interacción entre Service Workers y plugins, lo que permite a atacantes remotos eludir la Same Origin Policy a través de un sitio web manipulado que desencadena respuestas suplantadas a las peticiones que utilizan NPAPI, según lo demostrado por una petición a un archivo crossdomain.xml. • http://lists.opensuse.org/opensuse-updates/2016-02/msg00102.html http://lists.opensuse.org/opensuse-updates/2016-02/msg00142.html http://www.mozilla.org/security/announce/2016/mfsa2016-13.html http://www.securitytracker.com/id/1035007 http://www.ubuntu.com/usn/USN-2893-1 https://bugzilla.mozilla.org/show_bug.cgi?id=1245724 https://security.gentoo.org/glsa/201605-06 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2016-1940
https://notcve.org/view.php?id=CVE-2016-1940
Mozilla Firefox before 44.0 on Android allows remote attackers to spoof the address bar via a data: URL that is mishandled during (1) shortcut opening or (2) BOOKMARK intent processing. Mozilla Firefox en versiones anteriores a 44.0 en Android permite a atacantes remotos suplantar la barra de direcciones a través de un data: URL que se maneja incorrectamente durante el procesamiento de (1) la apertura de un acceso directo o (2) un BOOKMARK intent. • http://www.mozilla.org/security/announce/2016/mfsa2016-05.html http://www.securitytracker.com/id/1034825 https://bugzilla.mozilla.org/show_bug.cgi?id=1208525 https://security.gentoo.org/glsa/201605-06 • CWE-17: DEPRECATED: Code •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2016-1941
https://notcve.org/view.php?id=CVE-2016-1941
The file-download dialog in Mozilla Firefox before 44.0 on OS X enables a certain button too quickly, which allows remote attackers to conduct clickjacking attacks via a crafted web site that triggers a single-click action in a situation where a double-click action was intended. El dialogo de descarga de archivo en Mozilla Firefox en versiones anteriores a 44.0 en OS X habilita un determinado botón muy rápido, lo que permite a atacantes remotos llevar a cabo ataques de secuestro de clic a través de un sitio web manipulado que desencadena una acción de clic simple en una situación en la que se pretendía una acción de doble clic. • http://www.mozilla.org/security/announce/2016/mfsa2016-08.html http://www.securitytracker.com/id/1034825 https://bugzilla.mozilla.org/show_bug.cgi?id=1116385 https://security.gentoo.org/glsa/201605-06 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 3%CPEs: 4EXPL: 0CVE-2016-1933
https://notcve.org/view.php?id=CVE-2016-1933
Integer overflow in the image-deinterlacing functionality in Mozilla Firefox before 44.0 allows remote attackers to cause a denial of service (memory consumption or application crash) via a crafted GIF image. Desbordamiento de entero en la funcionalidad image-deinterlacing en Mozilla Firefox en versiones anteriores a 44.0 permite a atacantes remotos causar una denegación de servicio (consumo de memoria o caída de aplicación) a través de una imagen GIF manipulada. • http://lists.opensuse.org/opensuse-security-announce/2016-02/msg00001.html http://lists.opensuse.org/opensuse-security-announce/2016-02/msg00002.html http://www.mozilla.org/security/announce/2016/mfsa2016-02.html http://www.securityfocus.com/bid/81956 http://www.securitytracker.com/id/1034825 http://www.ubuntu.com/usn/USN-2880-1 http://www.ubuntu.com/usn/USN-2880-2 https://bugzilla.mozilla.org/show_bug.cgi?id=1231761 https://security.gentoo.org/glsa/201605-06 • CWE-189: Numeric Errors •
CVSS: 7.4EPSS: 0%CPEs: 4EXPL: 0CVE-2016-1942
https://notcve.org/view.php?id=CVE-2016-1942
Mozilla Firefox before 44.0 allows user-assisted remote attackers to spoof a trailing substring in the address bar by leveraging a user's paste of a (1) wyciwyg: URI or (2) resource: URI. Mozilla Firefox en versiones anteriores a 44.0 permite a atacantes remotos asistidos por usuario suplantar una subcadena posterior en la barra de direcciones aprovechando lo que pega un usuario de un (1) wyciwyg: URI o (2) resource: URI. • http://lists.opensuse.org/opensuse-security-announce/2016-02/msg00001.html http://lists.opensuse.org/opensuse-security-announce/2016-02/msg00002.html http://www.mozilla.org/security/announce/2016/mfsa2016-09.html http://www.securityfocus.com/bid/81948 http://www.securitytracker.com/id/1034825 http://www.ubuntu.com/usn/USN-2880-1 http://www.ubuntu.com/usn/USN-2880-2 https://bugzilla.mozilla.org/show_bug.cgi?id=1189082 https://security.gentoo.org/glsa/201605-06 • CWE-20: Improper Input Validation •