CVSS: 10.0EPSS: 17%CPEs: 132EXPL: 0CVE-2011-2989
https://notcve.org/view.php?id=CVE-2011-2989
The browser engine in Mozilla Firefox 4.x through 5, SeaMonkey 2.x before 2.3, Thunderbird before 6, and possibly other products does not properly implement WebGL, which allows remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unspecified vectors. El motor del navegador en Firefox versiones 4.x hasta 5, SeaMonkey versiones 2.x anteriores a 2.3, Thunderbird anterior a versión 6, y posiblemente otros productos de Mozilla, no implementa apropiadamente WebGL, lo que permite a los atacantes remotos causar una denegación de servicio (corrupción de memoria y bloqueo de aplicación) o posiblemente ejecutar código arbitrario por medio de vectores no especificados. • http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00023.html http://secunia.com/advisories/49055 http://www.mozilla.org/security/announce/2011/mfsa2011-29.html http://www.mozilla.org/security/announce/2011/mfsa2011-31.html http://www.mozilla.org/security/announce/2011/mfsa2011-33.html https://bugzilla.mozilla.org/show_bug.cgi?id=674042 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14528 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 10.0EPSS: 22%CPEs: 156EXPL: 0CVE-2011-2987
https://notcve.org/view.php?id=CVE-2011-2987
Heap-based buffer overflow in Almost Native Graphics Layer Engine (ANGLE), as used in the WebGL implementation in Mozilla Firefox 4.x through 5, Thunderbird before 6, SeaMonkey 2.x before 2.3, and possibly other products might allow remote attackers to execute arbitrary code via unspecified vectors. Desbordamiento de búfer en la región heap de la memoria en Almost Native Graphics Layer Engine (ANGLE), como es usado en la implementación de WebGL en Firefox versiones 4.x hasta 5, Thunderbird anterior a versión 6, SeaMonkey versiones 2.x anteriores a 2.3, y posiblemente otros productos de Mozilla, podrían permitir a los atacantes remotos ejecutar código arbitrario por medio de vectores no especificados. • http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00023.html http://secunia.com/advisories/49055 http://www.mozilla.org/security/announce/2011/mfsa2011-29.html http://www.mozilla.org/security/announce/2011/mfsa2011-31.html http://www.mozilla.org/security/announce/2011/mfsa2011-33.html http://www.securityfocus.com/bid/49226 https://bugzilla.mozilla.org/show_bug.cgi?id=665934 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14285 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 9.3EPSS: 0%CPEs: 37EXPL: 0CVE-2011-2993
https://notcve.org/view.php?id=CVE-2011-2993
The implementation of digital signatures for JAR files in Mozilla Firefox 4.x through 5, SeaMonkey 2.x before 2.3, and possibly other products does not prevent calls from unsigned JavaScript code to signed code, which allows remote attackers to bypass the Same Origin Policy and gain privileges via a crafted web site, a different vulnerability than CVE-2008-2801. La implementación de firmas digitales para archivos JAR en Firefox versiones 4.x hasta 5, SeaMonkey versiones 2.x anteriores a 2.3, de Mozilla, y posiblemente otros productos no impide las llamadas de código JavaScript sin firmar en código firmado, lo que permite a los atacantes remotos omitir la Política del Mismo Origen y alcanzar privilegios por medio de un sitio web especialmente diseñado, una vulnerabilidad diferente de CVE-2008-2801. • http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00023.html http://www.mozilla.org/security/announce/2011/mfsa2011-29.html http://www.mozilla.org/security/announce/2011/mfsa2011-33.html https://bugzilla.mozilla.org/show_bug.cgi?id=657267 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14055 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 10.0EPSS: 15%CPEs: 51EXPL: 0CVE-2011-2988
https://notcve.org/view.php?id=CVE-2011-2988
Buffer overflow in an unspecified string class in the WebGL shader implementation in Mozilla Firefox 4.x through 5, Thunderbird before 6, SeaMonkey 2.x before 2.3, and possibly other products allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via a long source-code block for a shader. Desbordamiento de buffer en una clase string no especificada en la implementación WebGL shader en Mozilla Firefox 4.x hasta la versión 5, Thunderbird en versiones anteriores a 6, SeaMonkey 2.x en versiones anteriores a 2.3 y posiblemente otros productos permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (caída de aplicación) a través de un bloque de código fuente largo en un shader. • http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00023.html http://secunia.com/advisories/49055 http://www.mozilla.org/security/announce/2011/mfsa2011-29.html http://www.mozilla.org/security/announce/2011/mfsa2011-31.html http://www.mozilla.org/security/announce/2011/mfsa2011-33.html http://www.securityfocus.com/bid/49242 https://bugzilla.mozilla.org/show_bug.cgi?id=665936 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14270 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 5.0EPSS: 0%CPEs: 74EXPL: 0CVE-2011-2990
https://notcve.org/view.php?id=CVE-2011-2990
The implementation of Content Security Policy (CSP) violation reports in Mozilla Firefox 4.x through 5, SeaMonkey 2.x before 2.3, and possibly other products does not remove proxy-authorization credentials from the listed request headers, which allows attackers to obtain sensitive information by reading a report, related to incorrect host resolution that occurs with certain redirects. La implementación de los informes de violación de la Política de Seguridad de Contenido (CSP) en Mozilla Firefox versiones 4.x hasta 5, SeaMonkey versiones 2.x anteriores a 2.3, y posiblemente otros productos, no elimina las credenciales de autorización de proxy de los encabezados de petición listada, lo que permite a los atacantes obtener información confidencial mediante la lectura de un informe, relacionado con la resolución incorrecta del host que ocurre con ciertos redireccionamientos. • http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00023.html http://www.mozilla.org/security/announce/2011/mfsa2011-29.html http://www.mozilla.org/security/announce/2011/mfsa2011-33.html https://bugzilla.mozilla.org/show_bug.cgi?id=664983 https://bugzilla.mozilla.org/show_bug.cgi?id=679588 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14458 • CWE-255: Credentials Management Errors •