CVSS: 5.8EPSS: 10%CPEs: 28EXPL: 0CVE-2007-0996
https://notcve.org/view.php?id=CVE-2007-0996
The child frames in Mozilla Firefox before 1.5.0.10 and 2.x before 2.0.0.2, and SeaMonkey before 1.0.8 inherit the default charset from the parent window, which allows remote attackers to conduct cross-site scripting (XSS) attacks, as demonstrated using the UTF-7 character set. Los marcos hijo en Mozilla Firefox anterior a 1.5.0.10 y 2.x anterior 2.0.0.2, y SeaMonkey anterior a 1.0.8 heredan el charset por defecto desde la ventana padre, lo caul permite a atacantes remotos conducir ataques de secuencias de comandos en sitios cruzados (XSS), como se demostró utilizando a codificación de caracteres UTF-7. • ftp://patches.sgi.com/support/free/security/advisories/20070202-01-P.asc ftp://patches.sgi.com/support/free/security/advisories/20070301-01-P.asc http://fedoranews.org/cms/node/2713 http://fedoranews.org/cms/node/2728 http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00771742 http://lists.suse.com/archive/suse-security-announce/2007-Mar/0001.html http://osvdb.org/33812 http://rhn.redhat.com/errata/RHSA-2007-0077.html http://secunia.com/advisories/24205 •
CVSS: 5.0EPSS: 1%CPEs: 1EXPL: 0CVE-2007-1116
https://notcve.org/view.php?id=CVE-2007-1116
The CheckLoadURI function in Mozilla Firefox 1.8 lists the about: URI as a ChromeProtocol and can be loaded via JavaScript, which allows remote attackers to obtain sensitive information by querying the browser's session history. La función CheckLoadURI en Mozilla Firefox versión 1.8, enumera los URI about: tal y como ChromeProtocol y se puede cargar por medio de JavaScript, lo que permite a los atacantes remotos obtener información confidencial mediante la consulta del histórico de sesiones del navegador. • http://osvdb.org/33804 http://securityreason.com/securityalert/2309 http://www.gnucitizen.org/projects/hscan-redux http://www.securityfocus.com/archive/1/461006/100/0/threaded http://www.securityfocus.com/archive/1/461013/100/0/threaded https://bugzilla.mozilla.org/show_bug.cgi?id=371375 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.4EPSS: 32%CPEs: 47EXPL: 0CVE-2007-0779
https://notcve.org/view.php?id=CVE-2007-0779
GUI overlay vulnerability in Mozilla Firefox 1.5.x before 1.5.0.10 and 2.x before 2.0.0.2, and SeaMonkey before 1.0.8 allows remote attackers to spoof certain user interface elements, such as the host name or security indicators, via the CSS3 hotspot property with a large, transparent, custom cursor. Vulnerabilidad de superposición del IGU (Interfaz Gráfica de Usuario) en Mozilla Firefox 1.5.x anterior a 1.5.0.10 y 2.x anterior a 2.0.0.2, y SeaMonkey anterior a 1.0.8 permite a atacantes remotos suplantar determinados elementos de la interfaz de usuario, tales como el nombre de anfitrión o los indicadores de seguridad, mediante la propiedad hotspot de CSS3 con un cursor personalizado grande y transparente. • ftp://patches.sgi.com/support/free/security/advisories/20070202-01-P.asc ftp://patches.sgi.com/support/free/security/advisories/20070301-01-P.asc http://fedoranews.org/cms/node/2713 http://fedoranews.org/cms/node/2728 http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00771742 http://lists.suse.com/archive/suse-security-announce/2007-Mar/0001.html http://osvdb.org/32109 http://rhn.redhat.com/errata/RHSA-2007-0077.html http://secunia.com/advisories/24205 •
CVSS: 6.8EPSS: 1%CPEs: 6EXPL: 0CVE-2007-0780
https://notcve.org/view.php?id=CVE-2007-0780
browser.js in Mozilla Firefox 1.5.x before 1.5.0.10 and 2.x before 2.0.0.2, and SeaMonkey before 1.0.8 uses the requesting URI to identify child windows, which allows remote attackers to conduct cross-site scripting (XSS) attacks by opening a blocked popup originating from a javascript: URI in combination with multiple frames having the same data: URI. browser.js en Mozilla Firefox 1.5.x versiones anteriores a 1.5.0.10 y 2.x versiones anteriores a 2.0.0.2, y SeaMonkey versiones anteriores a 1.0.8, usa la URI de petición para identificar ventanas hijo, lo cual permite a atacantes remotos conducir ataques de secuencias de comandos en sitios cruzados (XSS) al abrir una ventana emergente bloqueada originada de una URI javascript: en combinación con múltiples marcos teniendo la misma URI data: • ftp://patches.sgi.com/support/free/security/advisories/20070202-01-P.asc ftp://patches.sgi.com/support/free/security/advisories/20070301-01-P.asc http://fedoranews.org/cms/node/2713 http://fedoranews.org/cms/node/2728 http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00771742 http://lists.suse.com/archive/suse-security-announce/2007-Mar/0001.html http://rhn.redhat.com/errata/RHSA-2007-0077.html http://secunia.com/advisories/24205 http://secunia.com/adv • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 1%CPEs: 7EXPL: 0CVE-2007-0778
https://notcve.org/view.php?id=CVE-2007-0778
The page cache feature in Mozilla Firefox before 1.5.0.10 and 2.x before 2.0.0.2, and SeaMonkey before 1.0.8 can generate hash collisions that cause page data to be appended to the wrong page cache, which allows remote attackers to obtain sensitive information or enable further attack vectors when the target page is reloaded from the cache. La característica caché de página en Mozilla Firefox versiones anteriores a 1.5.0.10 y 2.x versiones anteriores a 2.0.0.2, y SeaMonkey versiones anteriores a 1.0.8 puede generar colisiones de tablas hash que provocan que se añada datos de página a la caché equivocada, lo cual permite a atacantes remotos obtener información confidencial o habilitar otros vectores de ataque cuando la página objetivo se recarga de la caché. • ftp://patches.sgi.com/support/free/security/advisories/20070202-01-P.asc ftp://patches.sgi.com/support/free/security/advisories/20070301-01-P.asc http://fedoranews.org/cms/node/2713 http://fedoranews.org/cms/node/2728 http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00771742 http://lists.suse.com/archive/suse-security-announce/2007-Mar/0001.html http://rhn.redhat.com/errata/RHSA-2007-0077.html http://secunia.com/advisories/24205 http://secunia.com/adv • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •