CVSS: 9.3EPSS: 0%CPEs: 215EXPL: 0CVE-2011-3647 – Mozilla: Security problem with loadSubScript on 1.9.2 branch (MFSA 2011-46)
https://notcve.org/view.php?id=CVE-2011-3647
The JSSubScriptLoader in Mozilla Firefox before 3.6.24 and Thunderbird before 3.1.6 does not properly handle XPCNativeWrappers during calls to the loadSubScript method in an add-on, which makes it easier for remote attackers to gain privileges via a crafted web site that leverages certain unwrapping behavior, a related issue to CVE-2011-3004. El 'JSSubScriptLoader' en Mozilla Firefox antes de v3.6.24 y Thunderbird antes de v3.1.6 no maneja adecuadamente 'XPCNativeWrappers' durante las llamadas al método loadSubScript en un complemento, lo que permite ganar privilegios a los atacantes remotos a través de un sitio web específicamente diseñado que aprovecha cierto el comportamiento de 'unwrapping'. Se trata de un problema relacionado con CVE-2011-3004. • http://lists.opensuse.org/opensuse-security-announce/2011-11/msg00020.html http://www.mozilla.org/security/announce/2011/mfsa2011-46.html http://www.redhat.com/support/errata/RHSA-2011-1439.html https://bugzilla.mozilla.org/show_bug.cgi?id=680880 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A13550 https://access.redhat.com/security/cve/CVE-2011-3647 https://bugzilla.redhat.com/show_bug.cgi?id=751931 • CWE-20: Improper Input Validation •
CVSS: 5.1EPSS: 0%CPEs: 240EXPL: 0CVE-2011-3648 – Mozilla: Universal XSS likely with MultiByte charset (MFSA 2011-47)
https://notcve.org/view.php?id=CVE-2011-3648
Cross-site scripting (XSS) vulnerability in Mozilla Firefox before 3.6.24 and 4.x through 7.0 and Thunderbird before 3.1.6 and 5.0 through 7.0 allows remote attackers to inject arbitrary web script or HTML via crafted text with Shift JIS encoding. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Mozilla Firefox en versiones anteriores a 3.6.24 y versiones 4.x hasta la 7.0 y Thunderbird en versiones anteriores a 3.1.6 y 5.0 hasta la 7.0 permite a atacantes remotos inyectar codigo de script web o código HTML de su elección a través de texto modificado con codificación Shift JIS. • http://lists.opensuse.org/opensuse-security-announce/2011-11/msg00020.html http://www.mozilla.org/security/announce/2011/mfsa2011-47.html http://www.redhat.com/support/errata/RHSA-2011-1439.html https://bugzilla.mozilla.org/show_bug.cgi?id=690225 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14212 https://access.redhat.com/security/cve/CVE-2011-3648 https://bugzilla.redhat.com/show_bug.cgi?id=751932 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.3EPSS: 1%CPEs: 240EXPL: 0CVE-2011-3650 – Mozilla: crash while profiling page with many functions (MFSA 2011-49)
https://notcve.org/view.php?id=CVE-2011-3650
Mozilla Firefox before 3.6.24 and 4.x through 7.0 and Thunderbird before 3.1.6 and 5.0 through 7.0 do not properly handle JavaScript files that contain many functions, which allows user-assisted remote attackers to cause a denial of service (memory corruption and application crash) or possibly have unspecified other impact via a crafted file that is accessed by debugging APIs, as demonstrated by Firebug. Mozilla Firefox v3.6.24 y v4.x hasta la v7.0 y Thunderbird v3.1.6 y v5.0 antes de la v7.0 no maneja adecuadamente determinados archivos JavaScript que contienen multitud de funciones, lo que permite a atacantes remotos provocar una denegación de servicio (por corrupción de memoria y bloqueo de la aplicación), si son ayudados por un usuario local, o posiblemente incluso tener otro impacto no especificado a través de un archivo específicamente creado para ello, al que se accede en la depuración de las API, como lo demuestra Firebug. • http://lists.opensuse.org/opensuse-security-announce/2011-11/msg00020.html http://www.mozilla.org/security/announce/2011/mfsa2011-49.html http://www.redhat.com/support/errata/RHSA-2011-1439.html https://bugzilla.mozilla.org/show_bug.cgi?id=674776 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A13870 https://access.redhat.com/security/cve/CVE-2011-3650 https://bugzilla.redhat.com/show_bug.cgi?id=751933 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 9.3EPSS: 3%CPEs: 16EXPL: 0CVE-2011-2740
https://notcve.org/view.php?id=CVE-2011-2740
EMC RSA Key Manager (RKM) Appliance 2.7 SP1 before 2.7.1.6, when Firefox 4.x or 5.0 is used, does not properly terminate a user session upon a logout action, which makes it easier for remote attackers to execute arbitrary code by leveraging an unattended workstation. EMC RSA Key Manager (RKM) Appliance v2.7 SP1 antes de v2.7.1.6, cuando se usa Firefox v4.x o v5.0, no finaliza correctamente una sesión de usuario con una acción logout, lo que hace más sencillo para atacantes remotos ejecutar código de su elección aprovechando una estación de trabajo desatendida • http://securityreason.com/securityalert/8529 http://www.securityfocus.com/archive/1/520381 http://www.securitytracker.com/id?1026276 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 10.0EPSS: 10%CPEs: 21EXPL: 0CVE-2011-2998 – Mozilla: Integer underflow when using JavaScript RegExp (MFSA 2011-37)
https://notcve.org/view.php?id=CVE-2011-2998
Integer underflow in Mozilla Firefox 3.6.x before 3.6.23 allows remote attackers to cause a denial of service (application crash) or possibly execute arbitrary code via JavaScript code containing a large RegExp expression. Desbordamiento de enteros en Mozilla Firefox v3.6.x antes de v3.6.23 permite a atacantes remotos causar una denegación de servicio (caída de aplicación) o posiblemente ejecutar código de su elección a través de código JavaScript que contiene una gran expresión RegExp. • http://lists.opensuse.org/opensuse-security-announce/2011-11/msg00020.html http://www.debian.org/security/2011/dsa-2312 http://www.debian.org/security/2011/dsa-2313 http://www.debian.org/security/2011/dsa-2317 http://www.mandriva.com/security/advisories?name=MDVSA-2011:139 http://www.mandriva.com/security/advisories?name=MDVSA-2011:140 http://www.mandriva.com/security/advisories?name=MDVSA-2011:141 http://www.mozilla.org/security/announce/2011/mfsa2011-37.html http://www.redh • CWE-189: Numeric Errors CWE-190: Integer Overflow or Wraparound •