Vulnerabilidad en Mozilla Firefox, Firefox ESR, Thunderbird, Thunderbird ESR v10.x, y SeaMonkey (CVE-2012-4194)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
29/10/2012
Última modificación:
11/04/2025
Descripción
Mozilla Firefox anteriores a v16.0.2, Firefox ESR v10.x anteriores a v10.0.10, Thunderbird anteriores a v16.0.2, Thunderbird ESR v10.x anteriores a v10.0.10, y SeaMonkey anteriores a v2.13.2 no previenen el uso del método valueOf method para ocultar la ubicación el objeto (también conocido como window.location), lo que hace que sea más fácil para los atacantes remotos realizar ataques de secuencias de comandos en sitios cruzados(XSS) a través de vectores relacionados con un plugin.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 16.0.2 (excluyendo) | |
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 10.0 (incluyendo) | 10.0.10 (excluyendo) |
| cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:* | 2.13.2 (excluyendo) | |
| cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:* | 16.0.2 (excluyendo) | |
| cpe:2.3:a:mozilla:thunderbird_esr:*:*:*:*:*:*:*:* | 10.0 (incluyendo) | 10.0.10 (excluyendo) |
| cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:opensuse:12.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:opensuse:12.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:suse:linux_enterprise_desktop:10:sp4:*:*:*:*:*:* | ||
| cpe:2.3:o:suse:linux_enterprise_desktop:11:sp2:*:*:*:*:*:* | ||
| cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:*:*:*:* | ||
| cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:-:*:* | ||
| cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:vmware:*:* | ||
| cpe:2.3:o:suse:linux_enterprise_software_development_kit:10:sp4:*:*:*:*:*:* | ||
| cpe:2.3:o:suse:linux_enterprise_software_development_kit:11:sp2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2012-10/msg00019.html
- http://lists.opensuse.org/opensuse-security-announce/2012-10/msg00025.html
- http://rhn.redhat.com/errata/RHSA-2012-1407.html
- http://rhn.redhat.com/errata/RHSA-2012-1413.html
- http://secunia.com/advisories/51121
- http://secunia.com/advisories/51123
- http://secunia.com/advisories/51127
- http://secunia.com/advisories/51144
- http://secunia.com/advisories/51146
- http://secunia.com/advisories/51147
- http://secunia.com/advisories/51165
- http://secunia.com/advisories/55318
- http://www.mozilla.org/security/announce/2012/mfsa2012-90.html
- http://www.securityfocus.com/bid/56301
- http://www.ubuntu.com/usn/USN-1620-1
- http://www.ubuntu.com/usn/USN-1620-2
- https://bugzilla.mozilla.org/show_bug.cgi?id=800666
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16918
- http://lists.opensuse.org/opensuse-security-announce/2012-10/msg00019.html
- http://lists.opensuse.org/opensuse-security-announce/2012-10/msg00025.html
- http://rhn.redhat.com/errata/RHSA-2012-1407.html
- http://rhn.redhat.com/errata/RHSA-2012-1413.html
- http://secunia.com/advisories/51121
- http://secunia.com/advisories/51123
- http://secunia.com/advisories/51127
- http://secunia.com/advisories/51144
- http://secunia.com/advisories/51146
- http://secunia.com/advisories/51147
- http://secunia.com/advisories/51165
- http://secunia.com/advisories/55318
- http://www.mozilla.org/security/announce/2012/mfsa2012-90.html
- http://www.securityfocus.com/bid/56301
- http://www.ubuntu.com/usn/USN-1620-1
- http://www.ubuntu.com/usn/USN-1620-2
- https://bugzilla.mozilla.org/show_bug.cgi?id=800666
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16918