Vulnerabilidad en Bugzilla (CVE-2014-1573)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
13/10/2014
Última modificación:
12/04/2025
Descripción
Bugzilla 2.x hasta 4.0.x anterior a 4.0.15, 4.1.x y 4.2.x anterior a 4.2.11, 4.3.x y 4.4.x anterior a 4.4.6, y 4.5.x anterior a 4.5.6 no asegura que se utilice un contexto escalar para ciertos parámetro CGI, lo que permite a atacantes remotos realizar ataques de XSS mediante el envío de tres valores para un único nombre de parámetro.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:fedoraproject:fedora:19:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:20:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:21:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:2.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:2.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:2.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:2.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:2.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:2.12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:2.14:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:2.14.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:2.14.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mozilla:bugzilla:2.14.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://advisories.mageia.org/MGASA-2014-0412.html
- http://blog.gerv.net/2014/10/new-class-of-vulnerability-in-perl-web-applications/
- http://lists.fedoraproject.org/pipermail/package-announce/2014-November/142524.html
- http://lists.fedoraproject.org/pipermail/package-announce/2014-October/141309.html
- http://lists.fedoraproject.org/pipermail/package-announce/2014-October/141321.html
- http://openwall.com/lists/oss-security/2014/10/07/20
- http://packetstormsecurity.com/files/128578/Bugzilla-Account-Creation-XSS-Information-Leak.html
- http://www.bugzilla.org/security/4.0.14/
- http://www.mandriva.com/security/advisories?name=MDVSA-2014%3A200
- http://www.opennet.ru/opennews/art.shtml?num=40766
- http://www.reddit.com/r/netsec/comments/2ihen0/new_class_of_vulnerability_in_perl_web/
- http://www.securityfocus.com/bid/70257
- http://www.securitytracker.com/id/1030978
- https://bugzilla.mozilla.org/show_bug.cgi?id=1075578
- https://security.gentoo.org/glsa/201607-11
- http://advisories.mageia.org/MGASA-2014-0412.html
- http://blog.gerv.net/2014/10/new-class-of-vulnerability-in-perl-web-applications/
- http://lists.fedoraproject.org/pipermail/package-announce/2014-November/142524.html
- http://lists.fedoraproject.org/pipermail/package-announce/2014-October/141309.html
- http://lists.fedoraproject.org/pipermail/package-announce/2014-October/141321.html
- http://openwall.com/lists/oss-security/2014/10/07/20
- http://packetstormsecurity.com/files/128578/Bugzilla-Account-Creation-XSS-Information-Leak.html
- http://www.bugzilla.org/security/4.0.14/
- http://www.mandriva.com/security/advisories?name=MDVSA-2014%3A200
- http://www.opennet.ru/opennews/art.shtml?num=40766
- http://www.reddit.com/r/netsec/comments/2ihen0/new_class_of_vulnerability_in_perl_web/
- http://www.securityfocus.com/bid/70257
- http://www.securitytracker.com/id/1030978
- https://bugzilla.mozilla.org/show_bug.cgi?id=1075578
- https://security.gentoo.org/glsa/201607-11