Vulnerabilidad en la función CSPService::ShouldLoad en Mozilla Firefox Firefox ESRy Thunderbird (CVE-2015-2731)
Gravedad CVSS v2.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/07/2015
Última modificación:
12/04/2025
Descripción
Vulnerabilidad de uso después de liberación en la función CSPService::ShouldLoad en la implementación microtask en Mozilla Firefox anterior a 39.0, Firefox ESR 38.x anterior a 38.1, y Thunderbird anterior a 38.1 permite a atacantes remotos ejecutar código arbitrario mediante el aprovechamiento de JavaScript del lado del cliente que provoca la eliminación de un objeto DOM sobre la base de una política de contenidos.
Impacto
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 38.1.0 (incluyendo) | |
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:* | 38.0.1 (incluyendo) | |
cpe:2.3:o:oracle:solaris:11.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:mozilla:firefox:31.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:mozilla:firefox:31.1.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:mozilla:firefox:31.1.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:mozilla:firefox:31.3.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:mozilla:firefox:31.5.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:mozilla:firefox:31.5.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:mozilla:firefox:31.5.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:mozilla:firefox:38.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:mozilla:firefox_esr:31.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:mozilla:firefox_esr:31.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:mozilla:firefox_esr:31.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:mozilla:firefox_esr:31.4:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2015-07/msg00025.html
- http://rhn.redhat.com/errata/RHSA-2015-1207.html
- http://rhn.redhat.com/errata/RHSA-2015-1455.html
- http://www.debian.org/security/2015/dsa-3300
- http://www.mozilla.org/security/announce/2015/mfsa2015-63.html
- http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html
- http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html
- http://www.securityfocus.com/bid/75541
- http://www.securitytracker.com/id/1032783
- http://www.securitytracker.com/id/1032784
- http://www.ubuntu.com/usn/USN-2656-1
- http://www.ubuntu.com/usn/USN-2656-2
- https://bugzilla.mozilla.org/show_bug.cgi?id=1149891
- https://security.gentoo.org/glsa/201512-10
- http://lists.opensuse.org/opensuse-security-announce/2015-07/msg00025.html
- http://rhn.redhat.com/errata/RHSA-2015-1207.html
- http://rhn.redhat.com/errata/RHSA-2015-1455.html
- http://www.debian.org/security/2015/dsa-3300
- http://www.mozilla.org/security/announce/2015/mfsa2015-63.html
- http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html
- http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html
- http://www.securityfocus.com/bid/75541
- http://www.securitytracker.com/id/1032783
- http://www.securitytracker.com/id/1032784
- http://www.ubuntu.com/usn/USN-2656-1
- http://www.ubuntu.com/usn/USN-2656-2
- https://bugzilla.mozilla.org/show_bug.cgi?id=1149891
- https://security.gentoo.org/glsa/201512-10