Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función CSPService::ShouldLoad en Mozilla Firefox Firefox ESRy Thunderbird (CVE-2015-2731)

Gravedad CVSS v2.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/07/2015
Última modificación:
12/04/2025

Descripción

Vulnerabilidad de uso después de liberación en la función CSPService::ShouldLoad en la implementación microtask en Mozilla Firefox anterior a 39.0, Firefox ESR 38.x anterior a 38.1, y Thunderbird anterior a 38.1 permite a atacantes remotos ejecutar código arbitrario mediante el aprovechamiento de JavaScript del lado del cliente que provoca la eliminación de un objeto DOM sobre la base de una política de contenidos.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* 38.1.0 (incluyendo)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:* 38.0.1 (incluyendo)
cpe:2.3:o:oracle:solaris:11.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.1.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.1.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.3.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.5.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.5.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.5.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:38.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:31.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:31.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:31.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:31.4:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información