Page 3 of 464 results (0.005 seconds)

CVSS: 6.8EPSS: 0%CPEs: 8EXPL: 0

CVE-2014-8638 – Mozilla: sendBeacon requests lack an Origin header (MFSA 2015-03)

https://notcve.org/view.php?id=CVE-2014-8638

The navigator.sendBeacon implementation in Mozilla Firefox before 35.0, Firefox ESR 31.x before 31.4, Thunderbird before 31.4, and SeaMonkey before 2.32 omits the CORS Origin header, which allows remote attackers to bypass intended CORS access-control checks and conduct cross-site request forgery (CSRF) attacks via a crafted web site. La implementación navigator.sendBeacon en Mozilla Firefox anterior a 35.0, Firefox ESR 31.x anterior a 31.4, Thunderbird anterior a 31.4, y SeaMonkey anterior a 2.32 omite la cabecera CORS Origin, lo que permite a atacantes remotos evadir las comprobaciones del control de acceso a CORS y realizar ataques de CSRF a través de un sitio web manipulado. • http://linux.oracle.com/errata/ELSA-2015-0046.html http://linux.oracle.com/errata/ELSA-2015-0047.html http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00014.html http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00032.html http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00033.html http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00036.html http://lists.opensuse.org/opensuse-security-announce/2015-02/msg00002.html http://lists.opensuse • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 6.8EPSS: 1%CPEs: 8EXPL: 0

CVE-2014-8639 – Mozilla: Cookie injection through Proxy Authenticate responses (MFSA 2015-04)

https://notcve.org/view.php?id=CVE-2014-8639

Mozilla Firefox before 35.0, Firefox ESR 31.x before 31.4, Thunderbird before 31.4, and SeaMonkey before 2.32 do not properly interpret Set-Cookie headers within responses that have a 407 (aka Proxy Authentication Required) status code, which allows remote HTTP proxy servers to conduct session fixation attacks by providing a cookie name that corresponds to the session cookie of the origin server. Mozilla Firefox anterior a 35.0, Firefox ESR 31.x anterior a 31.4, Thunderbird anterior a 31.4, y SeaMonkey anterior a 2.32 no interprete correctamente cabeceras Set-Cookie dentro de respuestas que tienen un código de estatus 407 (también conocido como Proxy Authentication Required), lo que permite a servidores proxy remotos HTTP realizar ataques de fijación de sesiones mediante la provisión de un nombre de cookie que corresponde con la cookie de la sesión de servidor de origen. • http://linux.oracle.com/errata/ELSA-2015-0046.html http://linux.oracle.com/errata/ELSA-2015-0047.html http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00014.html http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00032.html http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00033.html http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00036.html http://lists.opensuse.org/opensuse-security-announce/2015-02/msg00002.html http://lists.opensuse • CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0

CVE-2014-8632

https://notcve.org/view.php?id=CVE-2014-8632

The structured-clone implementation in Mozilla Firefox before 34.0 and SeaMonkey before 2.31 does not properly interact with XrayWrapper property filtering, which allows remote attackers to bypass intended DOM object restrictions by leveraging property availability after XrayWrapper removal. La implementación structured-clone en Mozilla Firefox anterior a 34.0 y SeaMonkey anterior a 2.31 no interactúa correctamente con el filtrado de los propiedades de XrayWrapper, lo que permite a atacantes remotos evadir las restricciones de objetos DOM mediante el aprovechamiento de propiedades disponibles después de la eliminación de XrayWrapper. • http://www.mozilla.org/security/announce/2014/mfsa2014-91.html http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html https://bugzilla.mozilla.org/show_bug.cgi?id=1050340 https://security.gentoo.org/glsa/201504-01 • CWE-284: Improper Access Control •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0

CVE-2014-8631

https://notcve.org/view.php?id=CVE-2014-8631

The Chrome Object Wrapper (COW) implementation in Mozilla Firefox before 34.0 and SeaMonkey before 2.31 supports native-interface passing, which allows remote attackers to bypass intended DOM object restrictions via a call to an unspecified method. La implementación Chrome Object Wrapper (COW) en Mozilla Firefox anterior a 34.0 y SeaMonkey anterior a 2.31 soporta el pasaje de la interfaz nativa, lo que permite a atacantes remotos evadir las restricciones de los objetos DOM a través de una llamada a un método no especificado. • http://www.mozilla.org/security/announce/2014/mfsa2014-91.html http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html https://bugzilla.mozilla.org/show_bug.cgi?id=821573 https://security.gentoo.org/glsa/201504-01 • CWE-284: Improper Access Control •

CVSS: 6.8EPSS: 3%CPEs: 2EXPL: 0

CVE-2014-1588

https://notcve.org/view.php?id=CVE-2014-1588

Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 34.0 and SeaMonkey before 2.31 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors. Múltiples vulnerabilidades no especificadas en el motor de navegación en Mozilla Firefox anterior a 34.0 y SeaMonkey anterior a 2.31 permiten a atacantes remotos causar una denegación de servicio (corrupción de memoria y caída de la aplicación) o posiblemente ejecutar código arbitrario a través de vectores desconocidos. • http://www.mozilla.org/security/announce/2014/mfsa2014-83.html http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html https://bugzilla.mozilla.org/show_bug.cgi?id=1013001 https://bugzilla.mozilla.org/show_bug.cgi?id=1023158 https://bugzilla.mozilla.org/show_bug.cgi?id=1026037 https://bugzilla.mozilla.org/show_bug.cgi?id=1037830 https://bugzilla.mozilla.org/show_bug.cgi? •