CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-9819 – Mozilla: Compartment mismatch with fetch API
https://notcve.org/view.php?id=CVE-2019-9819
A vulnerability where a JavaScript compartment mismatch can occur while working with the fetch API, resulting in a potentially exploitable crash. This vulnerability affects Thunderbird < 60.7, Firefox < 67, and Firefox ESR < 60.7. Una vulnerabilidad donde puede ocurrir una discrepancia en el compartimento de JavaScript mientras trabaja con la API de fetch, lo que resulta en un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Thunderbird anterior a versión 60.7, Firefox anterior a versión 67 y Firefox ESR anterior a versión 60.7. • https://bugzilla.mozilla.org/show_bug.cgi?id=1532553 https://www.mozilla.org/security/advisories/mfsa2019-13 https://www.mozilla.org/security/advisories/mfsa2019-14 https://www.mozilla.org/security/advisories/mfsa2019-15 https://access.redhat.com/security/cve/CVE-2019-9819 https://bugzilla.redhat.com/show_bug.cgi?id=1712628 • CWE-567: Unsynchronized Access to Shared Data in a Multithreaded Context CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-9817 – Mozilla: Stealing of cross-domain images using canvas
https://notcve.org/view.php?id=CVE-2019-9817
Images from a different domain can be read using a canvas object in some circumstances. This could be used to steal image data from a different site in violation of same-origin policy. This vulnerability affects Thunderbird < 60.7, Firefox < 67, and Firefox ESR < 60.7. Las imágenes desde un dominio diferente pueden ser leídas utilizando un objeto de canvas en ciertas circunstancias. Esto podría ser usado para robar datos de imágenes desde un sitio diferente en violación de la política del mismo origen. • https://bugzilla.mozilla.org/show_bug.cgi?id=1540221 https://www.mozilla.org/security/advisories/mfsa2019-13 https://www.mozilla.org/security/advisories/mfsa2019-14 https://www.mozilla.org/security/advisories/mfsa2019-15 https://access.redhat.com/security/cve/CVE-2019-9817 https://bugzilla.redhat.com/show_bug.cgi?id=1712626 • CWE-346: Origin Validation Error CWE-829: Inclusion of Functionality from Untrusted Control Sphere •
CVSS: 5.9EPSS: 53%CPEs: 3EXPL: 1CVE-2019-9816 – Spidermonkey - IonMonkey Unexpected ObjectGroup in ObjectGroupDispatch Operation
https://notcve.org/view.php?id=CVE-2019-9816
A possible vulnerability exists where type confusion can occur when manipulating JavaScript objects in object groups, allowing for the bypassing of security checks within these groups. *Note: this vulnerability has only been demonstrated with UnboxedObjects, which are disabled by default on all supported releases.*. This vulnerability affects Thunderbird < 60.7, Firefox < 67, and Firefox ESR < 60.7. Se presenta una posible vulnerabilidad donde puede producirse una confusión de tipo al manipular objetos de JavaScript en grupos de objetos, lo que permite omitir las comprobaciones de seguridad dentro de estos grupos. *Nota: esta vulnerabilidad solo ha sido demostrado con UnboxedObjects, que está deshabilitada por defecto en todas las versiones compatibles.*. • https://www.exploit-db.com/exploits/46940 https://bugzilla.mozilla.org/show_bug.cgi?id=1536768 https://www.mozilla.org/security/advisories/mfsa2019-13 https://www.mozilla.org/security/advisories/mfsa2019-14 https://www.mozilla.org/security/advisories/mfsa2019-15 https://access.redhat.com/security/cve/CVE-2019-9816 https://bugzilla.redhat.com/show_bug.cgi?id=1712625 • CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-9800 – Mozilla: Memory safety bugs fixed in Firefox 67 and Firefox ESR 60.7
https://notcve.org/view.php?id=CVE-2019-9800
Mozilla developers and community members reported memory safety bugs present in Firefox 66, Firefox ESR 60.6, and Thunderbird 60.6. Some of these bugs showed evidence of memory corruption and we presume that with enough effort that some of these could be exploited to run arbitrary code. This vulnerability affects Thunderbird < 60.7, Firefox < 67, and Firefox ESR < 60.7. Los desarrolladores de Mozilla y los miembros de la comunidad reportaron bugs de seguridad de memoria presentes en Firefox versión 66, Firefox ESR versión 60.6 y Thunderbird versión 60.6. Algunos de estos errores mostraron evidencias de corrupción de memoria y presumimos que, con un esfuerzo suficiente, algunos de estos podrían ser explotados para ejecutar código arbitrario. • https://bugzilla.mozilla.org/buglist.cgi?bug_id=1540166%2C1534593%2C1546327%2C1540136%2C1538736%2C1538042%2C1535612%2C1499719%2C1499108%2C1538619%2C1535194%2C1516325%2C1542324%2C1542097%2C1532465%2C1533554%2C1541580 https://www.mozilla.org/security/advisories/mfsa2019-13 https://www.mozilla.org/security/advisories/mfsa2019-14 https://www.mozilla.org/security/advisories/mfsa2019-15 https://access.redhat.com/security/cve/CVE-2019-9800 https://bugzilla.redhat.com/show_bug.cgi?id=1712623 • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') CWE-787: Out-of-bounds Write •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2019-11698 – Mozilla: Theft of user history data through drag and drop of hyperlinks to and from bookmarks
https://notcve.org/view.php?id=CVE-2019-11698
If a crafted hyperlink is dragged and dropped to the bookmark bar or sidebar and the resulting bookmark is subsequently dragged and dropped into the web content area, an arbitrary query of a user's browser history can be run and transmitted to the content page via drop event data. This allows for the theft of browser history by a malicious site. This vulnerability affects Thunderbird < 60.7, Firefox < 67, and Firefox ESR < 60.7. Si un hipervínculo especialmente diseñado se arrastra y suelta en la barra de marcadores o en la barra lateral y el marcador resultante se arrastra y suelta posteriormente en el área de contenido web, se puede ejecutar una consulta arbitraria del historial del navegador de un usuario y transmitirla a la página de contenido a través de los datos del evento. . Esto permite el robo del historial del navegador por un sitio malicioso. • https://bugzilla.mozilla.org/show_bug.cgi?id=1543191 https://www.mozilla.org/security/advisories/mfsa2019-13 https://www.mozilla.org/security/advisories/mfsa2019-14 https://www.mozilla.org/security/advisories/mfsa2019-15 https://access.redhat.com/security/cve/CVE-2019-11698 https://bugzilla.redhat.com/show_bug.cgi?id=1712621 • CWE-20: Improper Input Validation CWE-829: Inclusion of Functionality from Untrusted Control Sphere •