Vulnerabilidad en Aplicación Search en Gaia en Mozilla Firefox OS (CVE-2015-2745)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
08/08/2015
Última modificación:
12/04/2025
Descripción
Vulnerabilidades múltiples de XSS en la aplicación Search en Gaia en Mozilla Firefox OS en versiones anteriores a 2.2, permite a atacantes remotos inyectar HTML arbitrario a través del campo (1) name o (2) title en el contenido de tarjeta asociado a un enlace de búsqueda que no es manejado correctamente después de que se pulse el botón HOME o de una acción Show Windows, según lo demostrado incrustando una aplicación arbitraria o suplantando la página account-creation.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:mozilla:firefox_os:*:*:*:*:*:*:*:* | 2.1.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.mozilla.org/security/announce/2015/mfsa2015-73.html
- https://bugzilla.mozilla.org/show_bug.cgi?id=1101158
- https://github.com/mozilla-b2g/gaia/commit/0f72a8c31df9f3d8f609a7c58ca91139051d44eb
- http://www.mozilla.org/security/announce/2015/mfsa2015-73.html
- https://bugzilla.mozilla.org/show_bug.cgi?id=1101158
- https://github.com/mozilla-b2g/gaia/commit/0f72a8c31df9f3d8f609a7c58ca91139051d44eb