Page 378 of 2167 results (0.015 seconds)

CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 2

CVE-2009-3010

https://notcve.org/view.php?id=CVE-2009-3010

Mozilla Firefox 3.0.13 and earlier, 3.5, 3.6 a1 pre, and 3.7 a1 pre; SeaMonkey 1.1.17; and Mozilla 1.7.x and earlier do not properly block data: URIs in Refresh headers in HTTP responses, which allows remote attackers to conduct cross-site scripting (XSS) attacks via vectors related to (1) injecting a Refresh header that contains JavaScript sequences in a data:text/html URI or (2) entering a data:text/html URI with JavaScript sequences when specifying the content of a Refresh header. NOTE: in some product versions, the JavaScript executes outside of the context of the HTTP site. Mozilla Firefox v3.0.13 y anteriores, v3.5, v3.6 a1 pre, y v3.7 a1 pre; SeaMonkey v1.1.17; y Mozilla v1.7.x y anteriores no bloquean de forma adecuada las URIs data: en las cabeceras Refresh de las respuestas HTTP, lo que permite a atacantes remotos realizar ataques de ejecución de secuencias de comandos en sitios cruzados (XSS) a través de vectores relativos a (1) inyectar una cabecera Refresh que contiene secuencias Javascript en una URI data:text/html p (2) introduciendo una URI data:text/html con secuencias javascript cuando se especifica el contenido de una cabecera Refresh. NOTA: en algunas versiones del producto, el javascript se ejecuta fuera del contexto del sitio HTTP. • http://websecurity.com.ua/3315 http://websecurity.com.ua/3386 https://exchange.xforce.ibmcloud.com/vulnerabilities/52999 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 60EXPL: 2

CVE-2009-3014

https://notcve.org/view.php?id=CVE-2009-3014

Mozilla Firefox 3.0.13 and earlier, 3.5, 3.6 a1 pre, and 3.7 a1 pre; SeaMonkey 1.1.17; and Mozilla 1.7.x and earlier do not properly handle javascript: URIs in HTML links within 302 error documents sent from web servers, which allows user-assisted remote attackers to conduct cross-site scripting (XSS) attacks via vectors related to (1) injecting a Location HTTP response header or (2) specifying the content of a Location HTTP response header. Mozilla Firefox v3.0.13 y anteriores, v3.5, v3.6 a1 pre, y v3.7 a1 pre; SeaMonkey v1.1.17; y Mozilla v1.7.x y anteriores no manejan de forma adecuada las URIs javascript en los enlaces HTML incluidos en los documentos de error 302 enviados desde servidores web, lo que permite a atacantes remotos asistidos por usuarios realizar un ataque de ejecución de secuencias de comandos en sitios cruzados (XSS) a través de vectores relativos a (1) inyectar una cabecera Location de respuesta HTTP o (2) especificando el contenidos de una cabecera Location de respuesta HTTP. • http://websecurity.com.ua/3373 http://websecurity.com.ua/3386 http://www.securityfocus.com/archive/1/506163/100/0/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/52995 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 20EXPL: 2

CVE-2009-3012

https://notcve.org/view.php?id=CVE-2009-3012

Mozilla Firefox 3.0.13 and earlier, 3.5, 3.6 a1 pre, and 3.7 a1 pre does not properly block data: URIs in Location headers in HTTP responses, which allows remote attackers to conduct cross-site scripting (XSS) attacks via vectors related to (1) injecting a Location header that contains JavaScript sequences in a data:text/html URI or (2) entering a data:text/html URI with JavaScript sequences when specifying the content of a Location header. NOTE: the JavaScript executes outside of the context of the HTTP site. Mozilla Firefox v3.0.13 y anteriores, v3.5, v3.6 a1 pre y v3.7 a1 pre no bloquea adecuadamente los datos: URIs en las cabeceras Location en las respuestas HTTP, esto permite a atacantes remotos provocar ataques de secuencias de comandos en sitios cruzados (XSS) mediante vectores que están relacionados con (1) la inyección de una cabecera Location que contenga secuencias JavaScript en una URI data:text/html o (2) la introducción de una URI data:text/html con secuencias JAvaScript que especifiquen el contenido de una cabecera Location. NOTA: El JavaScript se ejecuta fuera del contexto del sitio HTTP. • http://websecurity.com.ua/3323 http://websecurity.com.ua/3386 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.0EPSS: 2%CPEs: 103EXPL: 0

CVE-2009-2470 – Mozilla data corruption with SOCKS5 reply

https://notcve.org/view.php?id=CVE-2009-2470

Mozilla Firefox before 3.0.12, and 3.5.x before 3.5.2, allows remote SOCKS5 proxy servers to cause a denial of service (data stream corruption) via a long domain name in a reply. Mozilla Firefox en versiones anteriores a la 3.0.12 y 3.5.x en versiones anteriores a la 3.5.2 permite a servidores proxy SOCKS5 remotos provocar una denegación de servicio (corrupción del flujo de datos) mediante un nombre de dominio largo en una respuesta. • http://secunia.com/advisories/36126 http://sunsolve.sun.com/search/document.do?assetkey=1-66-266148-1 http://www.mozilla.org/security/announce/2009/mfsa2009-38.html http://www.redhat.com/support/errata/RHSA-2010-0153.html http://www.redhat.com/support/errata/RHSA-2010-0154.html http://www.securityfocus.com/bid/35925 http://www.securitytracker.com/id?1022665 http://www.vupen.com/english/advisories/2009/2142 http://www.vupen.com/english/advisories/2010/0650 https://bug • CWE-20: Improper Input Validation •

CVSS: 9.3EPSS: 2%CPEs: 103EXPL: 0

CVE-2009-2663 – libvorbis: Improper codec headers processing (DoS, ACE)

https://notcve.org/view.php?id=CVE-2009-2663

libvorbis before r16182, as used in Mozilla Firefox 3.5.x before 3.5.2 and other products, allows context-dependent attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via a crafted .ogg file. libvorbis anterior a r16182, usado en Mozilla Firefox anterior a v3.0.13 y v3.5.x anterior a v3.5.2 y otros productos, permite a atacantes dependientes de contexto, provocar una denegación de servicio (corrupción de memoria y caída de aplicación) o posiblemente la ejecución de código de su elección a través de un archivo .ogg manipulado. • http://lists.opensuse.org/opensuse-security-announce/2010-08/msg00001.html http://secunia.com/advisories/36126 http://secunia.com/advisories/36230 http://secunia.com/advisories/36263 http://secunia.com/advisories/36463 http://sunsolve.sun.com/search/document.do?assetkey=1-66-266148-1 http://www.mozilla.org/security/announce/2009/mfsa2009-45.html http://www.securityfocus.com/bid/35927 http://www.securityfocus.com/bid/36018 http://www.vupen.com/english/advisories/2009/2142 http • CWE-399: Resource Management Errors •