CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-26979
https://notcve.org/view.php?id=CVE-2020-26979
When a user typed a URL in the address bar or the search bar and quickly hit the enter key, a website could sometimes capture that event and then redirect the user before navigation occurred to the desired, entered address. To construct a convincing spoof the attacker would have had to guess what the user was typing, perhaps by suggesting it. This vulnerability affects Firefox < 84. Cuando un usuario escribió una URL en la barra de direcciones o en la barra de búsqueda y presionó rápidamente la tecla Intro, un sitio web a veces podía capturar ese evento y luego redireccionar al usuario antes de que la navegación ocurriera hacia la dirección ingresada deseada. Para construir una copia convincente, el atacante habría tenido que adivinar lo que estaba escribiendo el usuario, quizás sugiriéndolo. • https://bugzilla.mozilla.org/buglist.cgi?bug_id=1641287%2C1673299 https://www.mozilla.org/security/advisories/mfsa2020-54 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2020-35112
https://notcve.org/view.php?id=CVE-2020-35112
If a user downloaded a file lacking an extension on Windows, and then "Open"-ed it from the downloads panel, if there was an executable file in the downloads directory with the same name but with an executable extension (such as .bat or .exe) that executable would have been launched instead. *Note: This issue only affected Windows operating systems. Other operating systems are unaffected.*. This vulnerability affects Firefox < 84, Thunderbird < 78.6, and Firefox ESR < 78.6. Si un usuario descargó un archivo que carece de una extensión en Windows y luego "Open"-ed desde el panel de descargas, si había un archivo ejecutable en el directorio de descargas con el mismo nombre pero con una extensión ejecutable (como .bat o .exe) ese ejecutable habría sido iniciado en su lugar. • https://bugzilla.mozilla.org/show_bug.cgi?id=1661365 https://www.mozilla.org/security/advisories/mfsa2020-54 https://www.mozilla.org/security/advisories/mfsa2020-55 https://www.mozilla.org/security/advisories/mfsa2020-56 •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2020-26973 – Mozilla: CSS Sanitizer performed incorrect sanitization
https://notcve.org/view.php?id=CVE-2020-26973
Certain input to the CSS Sanitizer confused it, resulting in incorrect components being removed. This could have been used as a sanitizer bypass. This vulnerability affects Firefox < 84, Thunderbird < 78.6, and Firefox ESR < 78.6. Determinadas entradas hacia el CSS Sanitizer lo confundieron, resultando en una eliminación de componentes incorrectos. Esto podría haber sido usado como una omisión de saneo. • https://bugzilla.mozilla.org/show_bug.cgi?id=1680084 https://www.mozilla.org/security/advisories/mfsa2020-54 https://www.mozilla.org/security/advisories/mfsa2020-55 https://www.mozilla.org/security/advisories/mfsa2020-56 https://access.redhat.com/security/cve/CVE-2020-26973 https://bugzilla.redhat.com/show_bug.cgi?id=1908023 • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-26972
https://notcve.org/view.php?id=CVE-2020-26972
The lifecycle of IPC Actors allows managed actors to outlive their manager actors; and the former must ensure that they are not attempting to use a dead actor they have a reference to. Such a check was omitted in WebGL, resulting in a use-after-free and a potentially exploitable crash. This vulnerability affects Firefox < 84. El ciclo de vida de IPC Actors, permite a actores administrados sobrevivir a sus actores administradores; y los primeros deben asegurarse de que no están intentando usar a un actor eliminado al que presentan en una referencia. Esta comprobación se omitió en WebGL, resultando en un uso de la memoria previamente liberada y un bloqueo potencialmente explotable. • https://bugzilla.mozilla.org/show_bug.cgi?id=1671382 https://www.mozilla.org/security/advisories/mfsa2020-54 • CWE-416: Use After Free •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-35114
https://notcve.org/view.php?id=CVE-2020-35114
Mozilla developers reported memory safety bugs present in Firefox 83. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 84. Los desarrolladores de Mozilla reportaron bugs de seguridad de la memoria presentes en Firefox versión 83. Algunos de estos bugs mostraron evidencia de corrupción de la memoria y suponemos que con un suficiente esfuerzo algunos de ellos podrían haberse explotado para ejecutar código arbitrario. • https://bugzilla.mozilla.org/buglist.cgi?bug_id=1607449%2C1640416%2C1656459%2C1669914%2C1673567 https://www.mozilla.org/security/advisories/mfsa2020-54 • CWE-787: Out-of-bounds Write •