Vulnerabilidad en Mozilla Firefox (CVE-2015-7184)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
18/10/2015
Última modificación:
12/04/2025
Descripción
La implementación de la API fetch en Mozilla Firefox en versiones anteriores a 41.0.2 no restringe el acceso al cuerpo de respuesta de HTTP en ciertas situaciones, donde las credenciales de usuario son suministradas pero el algoritmo de petición de orígenes cruzados CORS se sigue indebidamente, lo que permite a atacantes remotos eludir la Same Origin Policy a través de un sitio web manipulado.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 41.0.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2015-10/msg00021.html
- http://www.mozilla.org/security/announce/2015/mfsa2015-115.html
- http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html
- http://www.securityfocus.com/bid/77100
- http://www.securitytracker.com/id/1033820
- http://www.ubuntu.com/usn/USN-2768-1
- https://bugzilla.mozilla.org/show_bug.cgi?id=1208339
- https://bugzilla.mozilla.org/show_bug.cgi?id=1212669
- http://lists.opensuse.org/opensuse-security-announce/2015-10/msg00021.html
- http://www.mozilla.org/security/announce/2015/mfsa2015-115.html
- http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html
- http://www.securityfocus.com/bid/77100
- http://www.securitytracker.com/id/1033820
- http://www.ubuntu.com/usn/USN-2768-1
- https://bugzilla.mozilla.org/show_bug.cgi?id=1208339
- https://bugzilla.mozilla.org/show_bug.cgi?id=1212669