Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en OpenType Sanitizer en Google Chrome (CVE-2011-3062)
Severidad: Pendiente de análisis
Fecha de publicación: 30/03/2012
Fecha de última actualización: 21/10/2024
Error de tipo "Off-by-one" en OpenType Sanitizer en Google Chrome anterior a v18.0.1025.142 permite a atacantes remotos causar una denegación de servicio o posiblemente tener un impacto no especificado a través de un archivo modificado de OpenType.
Vulnerabilidad en Mozilla Firefox (CVE-2012-1970)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades no especificadas en el motor del navegador de Mozilla Firefox anterior a v15,0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15,0, Thunderbird ESR 10.x anterior a v10.0.7 y SeaMonkey anterior a v2.12 permite a atacantes remotos provocar una denegación de servicio (corrupción de memoria y caída de la aplicación) o posiblemente ejecutar código arbitrario a través de vectores desconocidos
Vulnerabilidad en nsHTMLEditor::CollapseAdjacentTextNodes en Mozilla Firefox (CVE-2012-1972)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad usar-después-liberar(use-after-free) en la función nsHTMLEditor::CollapseAdjacentTextNodes en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio a través de vectores no especificados.
Vulnerabilidad en nsObjectLoadingContent::LoadObject (CVE-2012-1973)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad usar-después-liberar(use-after-free) en la función nsObjectLoadingContent::LoadObject en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio a través de vectores no especificados.
Vulnerabilidad en función gfxTextRun::CanBreakLineBefore en Mozilla Firefox (CVE-2012-1974)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad usar-después-liberar(use-after-free) en la función gfxTextRun::CanBreakLineBefore en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio a través de vectores no especificados.
Vulnerabilidad en PresShell::CompleteMove en Mozilla Firefox (CVE-2012-1975)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad usar-después-liberar(use-after-free) en la función PresShell::CompleteMove en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio a través de vectores no especificados.
Vulnerabilidad en función nsHTMLSelectElement::SubmitNamesValues en Mozilla Firefox (CVE-2012-1976)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad usar-después-liberar(use-after-free) en la función nsHTMLSelectElement::SubmitNamesValues en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio a través de vectores no especificados.
Vulnerabilidad en función MediaStreamGraphThreadRunnable::Ru en Mozilla Firefox (CVE-2012-3956)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad usar-después-liberar(use-after-free) en la función MediaStreamGraphThreadRunnable::Ru en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio a través de vectores no especificados.
Vulnerabilidad en función nsBlockFrame::MarkLineDirty en Mozilla Firefox (CVE-2012-3957)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Un desbordamiento de búfer basado en memoria dinámica ('heap') en la función nsBlockFrame::MarkLineDirty en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 permite a atacantes remotos ejecutar código a través de vectores no especificados.
Vulnerabilidad en Mozilla Firefox (CVE-2012-3959)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad usar-después-liberar(use-after-free) en la función nsRangeUpdater::SelAdjDeleteNode en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio a través de vectores no especificados.
Vulnerabilidad en función mozSpellChecker::SetCurrentDictionary en Mozilla Firefox (CVE-2012-3960)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad usar-después-liberar(use-after-free) en la función mozSpellChecker::SetCurrentDictionary en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio a través de vectores no especificados.
Vulnerabilidad en Mozilla Firefox (CVE-2012-3961)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad usar-después-liberar(use-after-free) en la implementación RangeData en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio a través de vectores no especificados.
Vulnerabilidad en Mozilla Firefox (CVE-2012-3963)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad usar-después-liberar(use-after-free) en la función js::gc::MapAllocToTraceKind en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 permite a atacantes remotos ejecutar código de su elección a través de vectores no especificados.
Vulnerabilidad en WebGL en Mozilla Firefox (CVE-2012-3967)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
La implementación WebGL en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 en Linux, cuando un gran número de muestreos uniformes se utilizan, interactuando de forma no adecuada con los (drivers) Mesa, lo que permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de pila de memoria) a través de un sitio web manipulado.
Vulnerabilidad en WebGL en Mozilla Firefox (CVE-2012-3968)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad de liberación después de uso en la implementación WebGL en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, SeaMonkey anterior a v2.12 permite a atacantes remotos ejecutar código arbitrario a través de vectores relacionados con la eliminación de un fragmento (shader) debido al acceso.
Vulnerabilidad en funcionalidad format-number en la implementación XSLT en Mozilla Firefox (CVE-2012-3972)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
La funcionalidad format-number en la implementación XSLT en Mozilla Firefox anterior a v15.0, Firefox ESR v10.x anterior a v10.0.7, Thunderbird anterior a v15.0, Thunderbird ESR v10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 permite a atacantes remotos obtener información sensible a través de vectores no especificados que desencadenan un desbordamiento de búfer basado en memoria dinámica de lectura.
Vulnerabilidad en eventos onLocationChange en Mozilla Firefox (CVE-2012-3976)
Severidad: Pendiente de análisis
Fecha de publicación: 29/08/2012
Fecha de última actualización: 21/10/2024
Mozilla Firefox anterior a v15.0, Firefox ESR 10.x anterior a v10.0.7, y SeaMonkey anterior a v2.12 no maneja adecuadamente los eventos onLocationChange durante la navegación entre los diferentes sitios https, lo que permite a atacantes remotos falsificar la información del certificado X.509 en la barra de direcciones a través de una página web maliciosa.
Vulnerabilidad en Mozilla Firefox (CVE-2012-3982)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades no especificadas en el motor del navegador de Mozilla Firefox antes de v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8 y SeaMonkey antes de v2.13 permiten a atacantes remotos provocar una denegación de servicio (corrupción de memoria y caída de la aplicación) o posiblemente ejecutar código de su elección a través de vectores desconocidos.
Vulnerabilidad en varios productos Mozilla (CVE-2012-3986)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, no restringe correctamente las llamadas a métodos DOMWindowUtils (alias nsDOMWindowUtils), lo que permite a atacantes remotos evitar las restricciones de acceso a través de código JavaScript manipulado.
Vulnerabilidad en varios productos Mozilla (CVE-2012-3988)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, podría permitir a atacantes remotos ejecutar código de su elección a través de vectores que implican el uso de mozRequestFullScreen para acceder al modo de pantalla completa y usar el método history.back para usar el historial de navegación.
Vulnerabilidad en varios productos Mozilla (CVE-2012-3990)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, permite a atacantes remotos ejecutar código de su elección a través de vectores no especificados, relacionado con la función nsIContent::GetNameSpaceID.
Vulnerabilidad en varios productos Mozilla (CVE-2012-3991)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, no restringe adecuadamente el acceso JSAPI a la función GetProperty, lo que permite a atacantes remotos evitar la política de mismo origen (Same Origin Policy) y posiblemente tener otros impactos no especificados a través de una página web manipulada.
Vulnerabilidad en varios productos Mozilla (CVE-2012-3992)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, no gestiona adecuadamente los datos del historico, lo que permite a atacantes remotos llevar a cabo ataques de ejecución de secuencias de comandos en sitios cruzados (XSS) u obtener información sensible de contenidos POST a través de vectores que implican una operación de escritura location.hash y el historial de navegación que activa la carga de una URL en el objeto de la historia.
Vulnerabilidad en varios productos Mozilla (CVE-2012-3993)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
La implementación Chrome Object Wrapper (COW) en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, no interactúa apropiadamente con fallos de métodos de InstallTrigger, lo que permite a atacantes remotos ejecutar código JavaScript de su elección con privilegios chrome a través de una página web modificada, relacionada con un problema "XrayWrapper pollution"
Vulnerabilidad en varios productos Mozilla (CVE-2012-3994)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, permite a atacantes remotos llevar a cabo ataques de ejecución de secuencias de comandos en sitios cruzados (XSS) a través de un complemento binario que utiliza Object.defineProperty para sombrear el objeto superior y y aprovecha la relación entre top.location y la propiedad de ubicación.
Vulnerabilidad en varios productos Mozilla (CVE-2012-3995)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
La función IsCSSWordSpacingSpace en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, permite a atacantes remotos provocar una denegación de servicio (lectura fuera de límites) a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4179)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en la funciónn sHTMLCSSUtils::CreateCSSPropertyTxn en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio (corrupción de memoria dinámica) a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4180)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Desbordamiento de búfer en memoria dinámica en la función nsHTMLEditor::IsPrevCharInNodeWhitespace en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, permite a atacantes remotos ejecutar código de su elección a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4181)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en la función nsSMILAnimationController::DoSample en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio (corrupción de memoria dinámica) a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4182)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en la función nsTextEditRules::WillInsert en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio (corrupción de memoria dinámica) a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4183)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en la función DOMSVGTests::GetRequiredFeatures en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, permite a atacantes remotos provocar una denegación de servicio (corrupción de memoria dinámica) a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4184)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
La implementación Chrome Object Wrapper (COW) en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, no previene el acceso a las propiedades de un prototipo para una clase estandar, lo que permite a atacantes remotos ejecutar código JavaScript de su elección con privilegios chrome a través de una pagina web manipulada.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4185)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Desbordamiento de búfer en la función nsCharTraits::length en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, permite a atacantes remotos provocar una denegación de servicio (corrupción de memoria dinámica) a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4186)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Desbordamiento de búfer en la función nsWaveReader::DecodeAudioData en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, permite a atacantes remotos ejecutar código de su elección a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4187)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, no gestionan adecuadamente alguna variable insPos, lo que permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio (corrupción de memoria dinámica y fallo de aserción) a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4188)
Severidad: Pendiente de análisis
Fecha de publicación: 10/10/2012
Fecha de última actualización: 21/10/2024
Desbordamiento de búfer basado en memoria dinámica en la función Convolve3x3 en Mozilla Firefox v16.0, Firefox ESR v10.x antes de v10.0.8, Thunderbird antes de v16.0, Thunderbird ESR v10.x antes de v10.0.8, y SeaMonkey antes de v2.13, permite a atacantes remotos ejecutar código de su elección a través de vectores no especificados.
Vulnerabilidad en Mozilla Firefox (CVE-2012-4193)
Severidad: Pendiente de análisis
Fecha de publicación: 12/10/2012
Fecha de última actualización: 21/10/2024
Mozilla Firefox anteriores a v16.0.1, Firefox ESR v10.x anteriores a v10.0.9, Thunderbird anteriores a v16.0.1, Thunderbird ESR v10.x anteriores a v10.0.9, y SeaMonkey anteriores a v2.13.1 omite un chekeo de seguridad en la función defaultValue durante el desempaqueta de una envoltura de seguridad, lo que permite a atacantes remotos evitar la política "Same Origin Policy" y leer las propiedades del objeto Location, or ejecutar código JavaScript a través de un sitio Web moficado.
Vulnerabilidad en Mozilla Firefox, Firefox ESR, Thunderbird, Thunderbird ESR v10.x, y SeaMonkey (CVE-2012-4194)
Severidad: Pendiente de análisis
Fecha de publicación: 29/10/2012
Fecha de última actualización: 21/10/2024
Mozilla Firefox anteriores a v16.0.2, Firefox ESR v10.x anteriores a v10.0.10, Thunderbird anteriores a v16.0.2, Thunderbird ESR v10.x anteriores a v10.0.10, y SeaMonkey anteriores a v2.13.2 no previenen el uso del método valueOf method para ocultar la ubicación el objeto (también conocido como window.location), lo que hace que sea más fácil para los atacantes remotos realizar ataques de secuencias de comandos en sitios cruzados(XSS) a través de vectores relacionados con un plugin.
Vulnerabilidad en La función nsLocation::CheckURL en Mozilla Firefox, Firefox ESR, Thunderbird, Thunderbird ESR, y SeaMonkey (CVE-2012-4195)
Severidad: Pendiente de análisis
Fecha de publicación: 29/10/2012
Fecha de última actualización: 21/10/2024
La función nsLocation::CheckURL en Mozilla Firefox anteriores a v16.0.2, Firefox ESR 10.x anteriores a v10.0.10, Thunderbird anteriores a v16.0.2, Thunderbird ESR v10.x anteriores a v10.0.10, y SeaMonkey anteriores a v2.13.2 no determina de forma adecuada el documento que llama y principal en su valor de retorno, lo que facilita a atacantes remotos a conducir ataques de ejecución de secuencias de comandos en sitios cruzados (XSS)a través de un sitio Web manipulado y facilita a atacantes remotos a ejecutar código Javascript aprovechando ciertos comportamiento de complementos.
Vulnerabilidad en Mozilla Firefox, Firefox ESR, Thunderbird, Thunderbird ESR y SeaMonkey (CVE-2012-4196)
Severidad: Pendiente de análisis
Fecha de publicación: 29/10/2012
Fecha de última actualización: 21/10/2024
Mozilla Firefox anteriores a v16.0.2, Firefox ESR v10.x anteriores a v10.0.10, Thunderbird anteriores a v16.0.2, Thunderbird ESR v10.x anteriores a v10.0.10, y SeaMonkey anteriores a v2.13.2, permiten a atacantes remotos evitar la Same Origin Policy y leer la localización del objeto a través de un ataque "prototype property-injection" que elimina ciertos mecanismos de protección para ese objeto.
Vulnerabilidad en Mozilla Firefox, Thunderbird y SeaMonkey (CVE-2012-4201)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
La implementación evalInSandbox en Mozilla Firefox antes de v17.0, v10.x Firefox ESR antes de v10.0.11, Thunderbird antes de v17.0, Thunderbird ESR v10.x antes de v10.0.11, y SeaMonkey antes de v2.14 usa un contexto incorrecto durante la manipulación de código JavaScript que establece la propiedad location.href, lo que permite a atacantes remotos realizar ataques de ejecución de comandos en sitios cruzados (XSS) o leer archivos de su elección aprovechándose de un espacio complemento aislado ("sandboxed").
Vulnerabilidad en Mozilla Firefox, Thunderbird y SeaMonkey (CVE-2012-4202)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Un desbordamiento de búfer basado en memoria dinámica ('heap') en la función image::RasterImage::DrawFrameTo en Mozilla Firefox antes de v17.0, Firefox ESR v10.x antes de v10.0.11, Thunderbird antes de v17.0, Thunderbird ESR v10.x antes de v10.0.11, y SeaMonkey antes de v2.14 permite a atacantes remotos ejecutar código de su elección a través de una imagen GIF modificada.
Vulnerabilidad en Mozilla Firefox (CVE-2012-4207)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
La implementación del juego de caracteres HZ-GB-2312 en Mozilla Firefox anterior a v17.0, Firefox ESR v10.x anterior a v10.0.11, Thunderbird anterior a v17.0, Thunderbird ESR v10.x anterior a v10.0.11, y SeaMonkey anterior a v2.14 no maneja correctamente el caracter ~ (tilde) en proximidad con un delimitador, lo que permite a atacantes remotos llevar a cabo un ataque XSS mediante un documento manipulado.
Vulnerabilidad en Mozilla Firefox (CVE-2012-4209)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Mozilla Firefox anterior a v17.0, Firefox ESR v10.x anterior a v10.0.11, Thunderbird anterior a v17.0, Thunderbird ESR v10.x anterior a v10.0.11, y SeaMonkey anterior a v2.14 no previene el uso del valor del nombre de atributo de marco "top" para acceder a la localización correctamente, lo que hace mas fácil para atacantes remotos llevar a cabo ataques XSS mediante vectores que comprenden un plugin binario.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4213)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Uso después de liberación en la función nsEditor::FindNextLeafNode en Mozilla Firefox antes de 17.0, Thunderbird antes de 17.0, y SeaMonkey antes de 2.14 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria dinámica) a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4214)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Uso después de liberación en la función sTextEditorState::PrepareEditor en Mozilla Firefox antes de 17.0, Firefox ESR 10.x antes de 10.0.11, Thunderbird antes de 17.0, Thunderbird ESR 10.x antes de 10.0.11, y SeaMonkey antes de 2.14 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria dinámica) a través de vectores no especificados. Una vulnerabilidad diferente de CVE-2012-5840
Vulnerabilidad en varios productos Mozilla (CVE-2012-4215)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Uso después de liberación en la función sPlaintextEditor::FireClipboardEvent en Mozilla Firefox antes de 17.0, Firefox ESR 10.x antes de 10.0.11, Thunderbird antes de 17.0, Thunderbird ESR 10.x antes de 10.0.11, y SeaMonkey antes de 2.14 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria dinámica) a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-4216)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Uso después de liberación en la función gfxFont::GetFontEntry en Mozilla Firefox antes de 17.0, Firefox ESR 10.x antes de 10.0.11, Thunderbird antes de 17.0, Thunderbird ESR 10.x antes de 10.0.11, y SeaMonkey antes de 2.14 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria dinámica) a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-5829)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Desbordamiento de búfer basado en memoria dinámica en la función nsWindow::OnExposeEvent en Mozilla Firefox antes de v17.0, Firefox ESR v10.x antes de v10.0.11, Thunderbird antes de v17.0, Thunderbird ESR v10.x antes de v10.0.11, y SeaMonkey antes de v2.14 permite a atacantes remotos ejecutar código arbitrario a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-5830)
Severidad: ALTA
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en Mozilla Firefox antes de 17.0, Firefox ESR 10.x antes de 10.0.11, Thunderbird antes de 17.0, Thunderbird ESR 10.x antes de 10.0.11, y SeaMonkey antes de 2.14 en Mac OS X permite a atacantes remotos ejecutar código arbitrario a través de un documento HTML.
Vulnerabilidad en varios productos Mozilla (CVE-2012-5833)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
La implementación texImage2D en el subsistema de WebGL en Mozilla Firefox antes de 17.0, Firefox ESR 10.x antes de 10.0.11, Thunderbird antes de 17.0, Thunderbird ESR 10.x antes de 10.0.11, y SeaMonkey antes de 2.14 no interactúa correctamente con los controladores Mesa, que permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria y caída de la aplicación) a través de llamadas a funciones que implican ciertos valores del parámetro level.
Vulnerabilidad en varios productos Mozilla (CVE-2012-5835)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Desbordamiento de entero en el subsistema de WebGL en Mozilla Firefox antes de 17.0, Firefox ESR 10.x antes de 10.0.11, Thunderbird antes de 17.0, Thunderbird ESR 10.x antes de 10.0.11, y SeaMonkey antes de 2.14, permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (operación de escritura no válida) a través de los datos manipulados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-5838)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
La implementación de copyTextImage2D en el susbistema WebGL en Mozilla Firefox antes de 17.0, Thunderbird antes de 17.0 y SeaMonkey antes de 2.14, permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria y caída de la aplicación) a través de grandes dimensiones de la imagen.
Vulnerabilidad en varios productos Mozilla (CVE-2012-5839)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Desbordamiento de búfer basado en memoria dinámica en la función gfxShapedWord::CompressedGlyph::IsClusterStart en Mozilla Firefox antes de 17.0, Firefox ESR 10.x antes de 10.0.11, Thunderbird antes de 17,0, Thunderbird ESR 10.x antes de 10.0.11, y SeaMonkey antes de 2.14 permite a atacantes remotos ejecutar código arbitrario a través de vectores no especificados.
Vulnerabilidad en varios productos Mozilla (CVE-2012-5840)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en la función en la función nsTextEditorState::PrepareEditor en Mozilla Firefox antes de 17.0, Firefox ESR 10.x antes de 10.0.11, Thunderbird antes de 17,0, Thunderbird ESR 10.x antes de 10.0.11, y SeaMonkey antes de 2.14, permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria dinámica) a través de vectores no especificados, una vulnerabilidad diferente a CVE-2012-4214.
Vulnerabilidad en varios productos Mozilla (CVE-2012-5841)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Mozilla Firefox antes de 17.0, Firefox ESR 10.x antes de 10.0.11, Thunderbird antes de 17,0, Thunderbird ESR 10.x antes de 10.0.11, y SeaMonkey antes de 2.14 implementan envoltorios origen cruzado con un comportamiento de filtrado que no restringe correctamente las acciones de escritura, lo que permite a atacantes remotos realizar ataques de ejecución de secuencias de comandos en sitios cruzados (XSS) a través de un sitio web modificado.
Vulnerabilidad en varios productos Mozilla (CVE-2012-5842)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades no especificadas en el motor del navegador de Mozilla Firefox antes de 17.0, Firefox ESR 10.x antes de 10.0.11, Thunderbird antes de 17,0, Thunderbird ESR 10.x antes de 10.0.11, y SeaMonkey antes de 2.14 permite a atacantes remotos provocar una denegación de servicio (corrupción de memoria y caída de la aplicación) o posiblemente ejecutar código arbitrario a través de vectores desconocidos.
Vulnerabilidad en varios productos Mozilla (CVE-2012-5843)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2012
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades no especificadas en el motor del navegador de Mozilla Firefox antes de v17.0, Thunderbird antes de v17.0 y SeaMonkey antes de v2.14 permite a atacantes remotos provocar una denegación de servicio (corrupción de memoria y caída de la aplicación) o posiblemente ejecutar código arbitrario a través de vectores desconocidos.
Vulnerabilidad en Firefox, Thinderbir y Seamonkey (CVE-2013-0744)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad de liberación después de uso en la función TableBackgroundPainter::TableBackgroundData::Destroy en Mozilla Firefox anterior a 18.0, Firefox ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, Thunderbird anterior a 17.0.2, Thunderbird ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, y SeaMonkey anterior a 2.15, permite a atacantes remotos ejecutar código de su elección o provocar una denegación de servicio (corrupción de memoria dinámica) a través de un documento HTML con una tabla que contiene multitud de columnas y grupos de estas.
Vulnerabilidad en Productos Mozilla (CVE-2013-0745)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
La clase AutoWrapperChanger en Mozilla Firefox anterior a v18.0, Firefox ESR v17.x anterior a v17.0.2, Thunderbird anterior a v17.0.2, Thunderbird ESR v17.x anterior a v17.0.2, y SeaMonkey anterior a v2.15 no interactúa correctamente con el recolector de basura, lo cual permite a atacantes remotos ejecutar código a su elección a través de documentos HTML manipulados haciendo referencia a objetos JavaScript.
Vulnerabilidad en Firefox, Thinderbir y Seamonkey (CVE-2013-0746)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Mozilla Firefox anterior a 18.0, Firefox ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, Thunderbird anterior a 17.0.2, Thunderbird ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, y SeaMonkey anterior a 2.15, no implementa adecuadamente quickstubs que utiliza el tipo de dato jsval en las variables de retorno, lo que permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (caída de aplicación y desajuste del compartimiento) a través de código JavaScrip manipulado que no está manejado adecuadamente durante la recolección de basura.
Vulnerabilidad en Firefox, Thunderbird y Seamonkey (CVE-2013-0747)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
La función gPluginHandler.handleEvent en el maenjador de plugins en Mozilla Firefox anterior a 18.0, Firefox ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, Thunderbird anterior a 17.0.2, Thunderbird ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, y SeaMonkey anterior a 2.15, no refuerza adecuadamente el "Same Origin Policy", lo que permite a atacantes remotos llevar a cabo ataques de clickjacking a través de un código JavaScript manipulado que se mantiene a la escucha de un evento "mutation".
Vulnerabilidad en Firefox, Thunderbird y Seamonkey (CVE-2013-0748)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
La implementación de en el motor de navegación en Mozilla Firefox anterior a 18.0, Firefox ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, Thunderbird anterior a 17.0.2, Thunderbird ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, y SeaMonkey anterior a 2.15, facilita a atacantes remotos evitar los mecanismos de protección ASLR mediante la llamada a la función toString de un objeto XBL.
Vulnerabilidad en Firefox, Thunderbird y Seamonkey (CVE-2013-0749)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades sin especificar en el motor de navegación en Mozilla Firefox anterior a 18.0, Firefox ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, Thunderbird anterior a 17.0.2, Thunderbird ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, y SeaMonkey anterior a 2.15, permite a atacantes remotos provocar una denegación de servicio (corrupción de memoria y caída de aplicación) o posiblemente ejecutar código arbitrario a través de vectores desconocidos.
Vulnerabilidad en Firefox, Thunderbird y seamonkey (CVE-2013-0750)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Desbordamiento de búfer en la implementación de JavaScript en el componente XMLSerializer en Mozilla Firefox anterior a 18.0, Firefox ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, Thunderbird anterior a 17.0.2, Thunderbird ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, y SeaMonkey anterior a 2.15, permite a atacantes remotos ejecutar código arbitrario a través de una concatenación de caracteres manipulada, dirigiéndola a una asignación de memoria no válida y por lo tanto a un desbordamiento del búfer de memoria dinámica (heap).
Vulnerabilidad en Firefox, Thunderbird y seamonkey (CVE-2013-0752)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Mozilla Firefox anterior a 18.0, Firefox ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, Thunderbird anterior a 17.0.2, Thunderbird ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, y SeaMonkey anterior a 2.15, permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de un archivo XBL con múltiples vinculaciones que posee un contenido SVG.
Vulnerabilidad en Firefox, Thunderbird y seamonkey (CVE-2013-0753)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de la liberación en la implementación del serializeToStream en el componente XMLSerializer en Mozilla Firefox anterior a 18.0, Firefox ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, Thunderbird anterior a 17.0.2, Thunderbird ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, y SeaMonkey anterior a 2.15, permite a atacantes remotos ejecutar código arbitrario a través de un contenido web modificado.
Vulnerabilidad en Firefox, Thunderbird y seamonkey (CVE-2013-0754)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de la liberación en la implementación del ListenerManager en Mozilla Firefox anterior a 18.0, Firefox ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, Thunderbird anterior a 17.0.2, Thunderbird ESR 10.x anterior a 10.0.12 y 17.x anterior a 17.0.2, y SeaMonkey anterior a 2.15, permite a atacantes remotos ejecutar códifo arbitrario a través de vectores que involucran el lanzamiento de colecciones de basura después de una asignación de memoria para los objetos "listener".
Vulnerabilidad en Productos Mozilla (CVE-2013-0755)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad después de liberación en la implementación mozVibrate en la librería Vibrate en Mozilla Firefox anterior a v18.0, Firefox ESR v17.x anterior a v17.0.2, Thunderbird anterior a v17.0.2, Thunderbird ESR v17.x anterior a v17.0.2, y SeaMonkey anterior a v2.15 permite a atacantes remotos ejecutar código de su elección a través de vectores relacionados con el puntero de domDoc.
Vulnerabilidad en Productos Mozilla (CVE-2013-0756)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad en la gestión de recursos en la función obj_toSource en Mozilla Firefox anterior a v18.0, Firefox ESR 17.x anterior a v17.0.2, Thunderbird anterior a v17.0.2, Thunderbird ESR v17.x anterior a v17.0.2, y SeaMonkey anterior a v2.15 permite a atacantes remotos ejecutar código arbitrario a través de una página web manipulada haciendo referencia a objetos de JavaScript proxy que no están bien manejados durante la recolección de basura.
Vulnerabilidad en Productos Mozilla (CVE-2013-0757)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
La implementación Chrome Object Wrapper (COW) en Mozilla Firefox anterior a v18.0, Firefox ESR v17.x anterior a v17.0.2, Thunderbird before v17.0.2, Thunderbird ESR v17.x anterior a v17.0.2, y SeaMonkey anterior a v2.15 no impide modificaciones en el prototipo de un objeto, lo que permite a atacantes remotos ejecutar código JavaScript arbitrario con privilegios chrome haciendo referencia a Object.prototype.__proto__ en un documento HTML manipulado.
Vulnerabilidad en Productos Mozilla (CVE-2013-0758)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Mozilla Firefox anterior a v18.0, Firefox ESR v10.x anterior a v10.0.12 y v17.x anterior a v17.0.2, Thunderbird anterior a v17.0.2, Thunderbird ESR v10.x anterior a v10.0.12 y 17.x anterior a v17.0.2, y SeaMonkey anterior a v2.15 permite a atacantes remotos ejecutar código JavaScript de su elección con privilegios chrome utilizando una interacción inapropiada entre los objetos de plugin y elementos SVG.
Vulnerabilidad en Productos Mozilla (CVE-2013-0759)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Mozilla Firefox anterior a v18.0, Firefox ESR v10.x anterior a v10.0.12 y v17.x anterior a v17.0.2, Thunderbird anterior a v17.0.2, Thunderbird ESR v10.x anterior a v10.0.12 y 17.x anterior a v17.0.2, y SeaMonkey anterior a v2.15 permiten a atacantes remotos falsificar los datos de la barra de direcciones a través de vectores relacionados con la información de autenticación en el campo userinfo de un URL, junto con un código de estado HTTP 204 (también conocido como sin contenido).
Vulnerabilidad en CharDistributionAnalysis::HandleOneChar en Firefox, Thunderbird y SeaMonkey (CVE-2013-0760)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Desbordamiento de bufer en la función CharDistributionAnalysis::HandleOneChar en Mozilla Firefox anterior a v18.0, Thunderbird anterior a v17.0.2, y SeaMonkey anterior a v2.15 que permite a atacantes remotos ejecutar código arbitrario a través de documentos manipulados.
Vulnerabilidad en Firefox, Thunderbird y SeaMonkey (CVE-2013-0761)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en la implementación mozilla::TrackUnionStream::EndTrack en Mozilla Firefox anterior a v18.0, Firefox ESR v17.x anterior a v17.0.1, Thunderbird anterior a v17.0.2, Thunderbird ESR v17.x anterior a v17.0.1, y SeaMonkey anterior a v2.15 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicios (corrupción en la memoria dinámica) a través de vectores sin especificar.
Vulnerabilidad en imgRequest::OnStopFrame en Firefox, Thunderbird y Sea Monkey (CVE-2013-0762)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en la función imgRequest::OnStopFrame en Mozilla Firefox anterior a v18.0, Firefox ESR v10.x anterior a v10.0.12 y v17.x anterior a v17.0.1, Thunderbird anterior a v17.0.2, Thunderbird ESR v10.x anterior a v10.0.12 y v17.x anterior a v17.0.1, y SeaMonkey anterior a v2.15 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicios (corrupción en la memoria dinámica) a través de vectores sin especificar.
Vulnerabilidad en Firefox, Thunderbird y SeaMonkey (CVE-2013-0763)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en Mozilla Firefox anterior a v18.0, Firefox ESR v17.x anterior a v17.0.1, Thunderbird before v17.0.2, Thunderbird ESR v17.x anterior a v17.0.1, and SeaMonkey anterior a v2.15 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicios (corrupción de la memoria dinámica) a través de vectores relacionados con los controladores Mesa y cambiar el tamaño de WebGL canvas.
Vulnerabilidad en nsSOCKSSocketInfo::ConnectToProxy en Firefox, Thunderbir y SeaMonkey (CVE-2013-0764)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
La función nsSOCKSSocketInfo::ConnectToProxy en Mozilla Firefox anterior a v18.0, Firefox ESR v17.x anterior a v17.0.2, Thunderbird anterior a v17.0.2, Thunderbird ESR v17.x anterior a v17.0.2, y SeaMonkey anterior a v2.15 no asegura la seguridad de sesiones SSL, lo que permite a atacantes remtos ejecutar código arbitrario a través de datos manipulados, como se ha demostrado a través de los datos de un correo electrónico.
Vulnerabilidad en ~nsHTMLEditRules en Firefox, Thunderbird y SeaMonkey (CVE-2013-0766)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación de la implementación ~nsHTMLEditRules en Mozilla Firefox anterior a v18.0, Firefox ESR v10.x anterior a v10.0.12 y v17.x anterior a v17.0.1, Thunderbird anterior a v17.0.12, Thunderbird ESR v10.x anterior a 10.0.12 y v17.x anterior a 17.0.1, y SeaMonkey anterior a v2.15 que permite a atacantes remotos permite a atacantes remotos ejecutar código arbitrio o causar una denegación de servicio (corrupción de memoria dinámica) a través de vectores no especificados.
Vulnerabilidad en Productos Mozilla (CVE-2013-0767)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
La función sSVGPathElement::GetPathLengthScale en Mozilla Firefox anterior a v18.0, Firefox ESR v10.x anterior a v10.0.12 y v17.x anterior a v17.0.1, Thunderbird anterior a v17.0.2, Thunderbird ESR v10.x anterior a v10.0.12 y v17.x anterior a v17.0.1, y SeaMonkey anterior a v2.15 permite a atacantes remotos ejecutar código arbitrio o causar una denegación de servicio (lectura fuera de límites) a través de vectores no especificados
Vulnerabilidad en Productos Mozilla (CVE-2013-0768)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Desbordamiento de búfer basado en pila en la implementación Canvas en Mozilla Firefox anterior a v18.0, Firefox ESR v17.x anterior a 17.0.2, Thunderbird anterior a v17.0.2, Thunderbird ESR v17.x anterior a v17.0.2, y SeaMonkey anterior a v2.15 permite a atacantes remotos ejecutar código arbitrario a través de un documento HTML que especifica los valores no válidos de anchura y altura.
Vulnerabilidad en Productos Mozilla (CVE-2013-0769)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades sin especificar en el motor de búsqueda de Mozilla Firefox anterior a v18.0, Firefox ESR v10.x anterior a v10.0.12 y v17.x anterior a v17.0.1, Thunderbird anterior a v17.0.2, Thunderbird ESR v10.x anterior a v10.0.12 y v17.x anterior a v17.0.1, y SeaMonkey anterior a v2.15 permite ataques remotos que provocan una denegación de servicios (corrupción de memoria y caída de la aplicación) o posiblemente ejecutar código arbitrario a través de vectores sin especificar.
Vulnerabilidad en Productos Mozilla (CVE-2013-0770)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades sin especificar en el motor de búsqueda de Mozilla Firefox anterior a v18.0, Thunderbird anterior a v17.0.2, y SeaMonkey anterior a v2.15 permite ataques remotos que provocan una denegación de servicios (corrupción de memoria y caída de la aplicación) o posiblemente ejecutar código arbitrario a través de vectores sin especificar.
Vulnerabilidad en Productos Mozilla (CVE-2013-0771)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2013
Fecha de última actualización: 21/10/2024
Desbordamiento de búfer basado en la función gfxTextRun::ShrinkToLigatureBoundaries en Mozilla Firefox anterior a v18.0, Firefox ESR v17.x anterior a v17.0.1, Thunderbird anterior a v17.0.2, Thunderbird ESR v17.x anterior a v17.0.1, y SeaMonkey anterior a v2.15 permite a atacantes remotos ejecutar código de su elección o manipular documentos.
Vulnerabilidad en productos Mozilla (CVE-2013-0773)
Severidad: Pendiente de análisis
Fecha de publicación: 19/02/2013
Fecha de última actualización: 21/10/2024
Las implementaciones de Chrome Object Wrapper (COW) y System Only Wrapper (SOW) en Mozilla Firefox anteriores a v19.0, Firefox ESR v17.x y anteriores a v17.0.3, Thunderbird anteriores a v17.0.3, Thunderbird ESR v17.x y anteriores a v17.0.3, y SeaMonkey anteriores a v2.16 no previenen de modificaciones en un prototipo, lo que permite a atacantes remotos la obtención de informacion sensible en los objetos chrome o la posibilidad de ejecutar código JavaScript arbitrario con privilegios chorme mediante un sitio web modificado.
Vulnerabilidad en Mozilla Firefox, Firefox ESR, SeaMonke y Thunderbird (CVE-2013-0774)
Severidad: Pendiente de análisis
Fecha de publicación: 19/02/2013
Fecha de última actualización: 21/10/2024
Mozilla Firefox anterior a v19.0, Firefox ESR v17.x anterior a v17.0.3, Thunderbird anterior a v17.0.3, Thunderbird ESR v17.x anterior a v17.0.3, y SeaMonkey anterior a v2.16 no previene la lectura de JavaScript desde el directorio del perfil de navegación, lo que permite llevar a cabo ataques remotos con un impacto no especificado.
Vulnerabilidad en Firefox, Thunderbird y seamonkey (CVE-2013-0775)
Severidad: Pendiente de análisis
Fecha de publicación: 19/02/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso de memoria después de libreación en la función nsImageLoadingContent::OnStopContainer en Mozilla Firefox anterior a v19.0, Firefox ESR v17.x anterior a v17.0.3, Thunderbird anterior a v17.0.3, Thunderbird ESR v17.x anterior a v17.0.3, y SeaMonkey anterior a v2.16, permite a atacantes remotos ejecutar código de su elección a través de una secuencia de comandos web manipulada.
Vulnerabilidad en productos Mozilla (CVE-2013-0776)
Severidad: Pendiente de análisis
Fecha de publicación: 19/02/2013
Fecha de última actualización: 21/10/2024
Mozilla Firefox anterior a v19.0, Firefox ESR v17.x anterior a v17.0.3, Thunderbird anterior a v17.0.3, Thunderbird ESR 17.x anterior a v17.0.3, y SeaMonkey anterior a v2.16 permiten ataques man-in-the-middle falsificando la barra de direcciones a través de un servidor proxy que contienen una respuesta HTTP con código 407 acompañado por secuencias de comandos web, como se demostró con la utilización de un ataque de phishing a un sitio HTTPS.
Vulnerabilidad en Mozilla Firefox, Thunderbird y SeaMonkey (CVE-2013-0777)
Severidad: Pendiente de análisis
Fecha de publicación: 19/02/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de la liberación en la función nsDisplayBoxShadowOuter::Paint en Mozilla Firefox anterior a v19.0, Thunderbird anterior a v17.0.3, y SeaMonkey anterior a v2.16 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de la memoria dinámica) mediante vectores desconocidos.
Vulnerabilidad en ClusterIterator::NextCluster en productos Mozilla (CVE-2013-0778)
Severidad: Pendiente de análisis
Fecha de publicación: 19/02/2013
Fecha de última actualización: 21/10/2024
La función ClusterIterator::NextCluster en Mozilla Firefox anterior a v19.0, Thunderbird anterior a v17.0.3, y SeaMonkey anterior a v2.16 permite a atacantes remotos ejecutar código arbitrio o causar una denegación de servicio (lectura fuera de límites) a través de vectores no especificados
Vulnerabilidad en nsCodingStateMachine::NextState en productos Mozilla (CVE-2013-0779)
Severidad: Pendiente de análisis
Fecha de publicación: 19/02/2013
Fecha de última actualización: 21/10/2024
La función nsCodingStateMachine::NextState en Mozilla Firefox anterior a v19.0, Thunderbird anterior a v17.0.3, y SeaMonkey anterior a v2.16 permite a atacantes remotos ejecutar código arbitrio o causar una denegación de servicio (lectura fuera de límites) a través de vectores no especificados
Vulnerabilidad en Mozilla Firefox, Firefox ESR, SeaMonke y Thunderbird (CVE-2013-0780)
Severidad: Pendiente de análisis
Fecha de publicación: 19/02/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de la liberación en la función nsOverflowContinuationTracker::Finish en Mozilla Firefox anterior a v19.0, Firefox ESR v17.x anterior a v17.0.3, Thunderbird anterior a v17.0.3, Thunderbird ESR v17.x anterior a v17.0.3 , permite a atacantes remotos producir una denegación de servicio (caída de la aplicación) o posiblemente ejecutar código arbitrario mediante un documento especialmente diseñado usando las propiedades -moz-column-* de las hojas de estilo CSS.
Vulnerabilidad en nsPrintEngine::CommonPrint en productos Mozilla (CVE-2013-0781)
Severidad: Pendiente de análisis
Fecha de publicación: 19/02/2013
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en la función nsPrintEngine::CommonPrint en Mozilla Firefox anterior a v19.0, Thunderbird anterior a v17.0.3, y SeaMonkey anterior a v2.16 permite a atacantes remotos ejecutar código arbitrio o causar una denegación de servicio (corrupción de memoria dinámica) a través de vectores no especificados
Vulnerabilidad en Mozilla Firefox, Firefox ESR, SeaMonke y Thunderbird (CVE-2013-0782)
Severidad: Pendiente de análisis
Fecha de publicación: 19/02/2013
Fecha de última actualización: 21/10/2024
Desbordamiento de búfer basado en memoria dinámica en la función nsSaveAsCharset::DoCharsetConversion en Mozilla Firefox anterior a v19.0, Firefox ESR v17.x anterior a v17.0.3, Thunderbird anterior a v17.0.3, Thunderbird ESR v17.x anterior a v17.0.3, y SeaMonkey anterior a v2.16, permite a atacantes remotos ejecutar código arbitrario mediante vectores desconocidos.
Vulnerabilidad en Mozilla Firefox, Firefox ESR, SeaMonke y Thunderbird (CVE-2013-0783)
Severidad: Pendiente de análisis
Fecha de publicación: 19/02/2013
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades no especificadas en el motor de navegación en Mozilla Firefox anterior a v19.0, Firefox ESR v17.x anterior a v17.0.3, Thunderbird anterior a v17.0.3, Thunderbird ESR v17.x anterior a v17.0.3, y SeaMonkey anterior a v2.16 permite a atacantes remotos generar una denegación de servicio (corrupción de memoria y caída de la aplicación) o posiblemente ejecutar código arbitrario mediante vectores desconocidos.
Vulnerabilidad en motor de búsqueda de Mozilla Firefox, Thunderbird y SeaMonkey (CVE-2013-0784)
Severidad: Pendiente de análisis
Fecha de publicación: 19/02/2013
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades sin especificar en el motor de búsqueda de Mozilla Firefox, Thunderbird antes de v19.0 antes de v17.0.3 y SeaMonkey antes de v2.16 que permite ataques remotos que provocan una denegación de servicios (corrupción de memoria y caída de la aplicación) o posiblemente ejecutar código arbitrario a través de vectores sin especificar.
Vulnerabilidad en CERT_DecodeCertPackage en Mozilla Network Security Services (CVE-2013-0791)
Severidad: Pendiente de análisis
Fecha de publicación: 03/04/2013
Fecha de última actualización: 21/10/2024
La función CERT_DecodeCertPackage en Mozilla Network Security Services (NSS), tal como se utiliza en Mozilla Firefox antes de v20.0, Firefox ESR v17.x antes v17.0.5, Thunderbird antes de v17.0.5, Thunderbird ESR v17.x antes de v17.0.5, SeaMonkey antes de v2.17, y otros productos, permite a atacantes remotos provocar una denegación de servicio (fuera del terreno de juego y lectura de corrupción de memoria) a través de un certificado manipulado.
Vulnerabilidad en WebGL en Mozilla (CVE-2013-0796)
Severidad: Pendiente de análisis
Fecha de publicación: 03/04/2013
Fecha de última actualización: 21/10/2024
El subsistema de WebGL en Mozilla Firefox antes de v20.0, Firefox ESR v17.x antes de v17.0.5, Thunderbird antes de v17.0.5, Thunderbird ESR v17.x antes de v17.0.5 y SeaMonkey antes v2.17 en Linux no interactúa correctamente con los driver de Mesa, que permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (sin memoria no asignado) a través de vectores no especificados.
Vulnerabilidad en pixman_fill_sse2 en pixman-sse2.c (CVE-2013-0800)
Severidad: Pendiente de análisis
Fecha de publicación: 03/04/2013
Fecha de última actualización: 21/10/2024
Error de signo de entero en la función pixman_fill_sse2 en pixman-sse2.c en Pixman, distribuido con Cairo y utiliza Mozilla Firefox antes de v20.0, Firefox ESR v17.x antes v17.0.5, Thunderbird antes de v17.0.5, Thunderbird ESR v17.x antes v17.0.5, SeaMonkey antes de v2.17, y otros productos, permite a atacantes remotos ejecutar código arbitrario a través de los valores manipulados que desencadenan intento de uso de un límite de caja (1) negativo o (2) tamaño de caja negativo, lo que lleva a una operación de escritura fuera de rango.
Vulnerabilidad en Mozilla Firefox (CVE-2013-1675)
Severidad: MEDIA
Fecha de publicación: 16/05/2013
Fecha de última actualización: 21/10/2024
Mozilla Firefox anterior a v21.0, Firefox ESR v17.x anterior a v17.0.6, Thunderbird anterior a v17.0.6, y Thunderbird ESR v17.x anterior a v17.0.6 no inicializan estructuras de datos correctamente para las funciones nsDOMSVGZoomEvent::mPreviousScale y nsDOMSVGZoomEvent::mNewScale functions, lo que permite a atacantes remotos obtener información sensible desde la memoria de un proceso mediante un sitio web especialmente diseñado.
Vulnerabilidad en Mozilla Firefox y Thunderbird (CVE-2013-1690)
Severidad: ALTA
Fecha de publicación: 26/06/2013
Fecha de última actualización: 21/10/2024
Mozilla Firefox anterior a 22.0, Firefox ESR 17.x anterior a 17.0.7, Thunderbird anterior a 17.0.7, y Thunderbird ESR 17.x anterior a 17.0.7 no manejan adecuadamente los eventos "onreadystatechange" en conjunción con las recargas de página, lo que permite a atacantes remotos provocar una denegación de servicio (caída de aplicación) o posiblemente la ejecución arbitraria de código a través de un sitio web manipulado que provoca un intento de ejecución de datos y una asignación de memoria sin mapear.
Vulnerabilidad en Algoritmo RC4 (CVE-2013-2566)
Severidad: MEDIA
Fecha de publicación: 15/03/2013
Fecha de última actualización: 21/10/2024
El algoritmo RC4, tal como se usa en el protocolo TLS y protocolo SSL, tiene muchos "single-byte biases", lo que hace que sea más fácil para atacantes remotos realizar ataques de recuperación de texto claro a través de análisis estadístico de texto cifrado en un gran número de sesiones que utilizan el mismo texto claro.
Vulnerabilidad en la función mozilla::dom::IndexedDB::IDBObjectStore::CreateIndex en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-0831)
Severidad: Pendiente de análisis
Fecha de publicación: 25/02/2015
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en la función mozilla::dom::IndexedDB::IDBObjectStore::CreateIndex en Mozilla Firefox anterior a 36.0, Firefox ESR 31.x anterior a 31.5, y Thunderbird anterior a 31.5 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria dinámica) a través de contenidos manipulados que son manejados incorrectamente durante la creación del índice IndexedDB.
Vulnerabilidad en updater.exe en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-0833)
Severidad: Pendiente de análisis
Fecha de publicación: 25/02/2015
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades de rutas de búsqueda no confiables en updater.exe en Mozilla Firefox anterior a 36.0, Firefox ESR 31.x anterior a 31.5, y Thunderbird anterior a 31.5 en Windows, cuando el servicio de mantenimiento no está utilizado, permiten a usuarios locales ganar privilegios a través de un DLL troyano en(1) el directorio de trabajo actual o (2) un directorio temporal, tal y como fue demostrado por bcrypt.dll.
Vulnerabilidad en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-2708)
Severidad: Pendiente de análisis
Fecha de publicación: 14/05/2015
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades no especificadas en el motor de navegación en Mozilla Firefox anterior a 38.0, Firefox ESR 31.x anterior a 31.7, y Thunderbird anterior a 31.7 permiten a atacantes remotos causar una denegación de servicio (corrupción de memoria y caída de aplicación) o posiblemente ejecutar código arbitrario a través de vectores desconocidos.
Vulnerabilidad en la clase SVGTextFrame en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-2710)
Severidad: Pendiente de análisis
Fecha de publicación: 14/05/2015
Fecha de última actualización: 21/10/2024
Desbordamiento de buffer basado en memoria dinámica en la clase SVGTextFrame en Mozilla Firefox anterior a 38.0, Firefox ESR 31.x anterior a 31.7, y Thunderbird anterior a 31.7 permite a atacantes remotos ejecutar código arbitrario a través de datos de gráficos SVG manipulados en conjunto con una secuencia de tokens Cascading Style Sheets (CSS) manipulada.
Vulnerabilidad en la función SetBreaks en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-2713)
Severidad: Pendiente de análisis
Fecha de publicación: 14/05/2015
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en la función SetBreaks en Mozilla Firefox anterior a 38.0, Firefox ESR 31.x anterior a 31.7, y Thunderbird anterior a 31.7 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria dinámica) a través de un documento que contiene un texto manipulado en conjunto con una secuencia de tokens Cascading Style Sheets (CSS) que contiene propiedades relacionadas con el texto vertical.
Vulnerabilidad en Mozilla Network Security Services (CVE-2015-2721)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
Mozilla Network Security Services (NSS) anterior a 3.19, utilizado en Mozilla Firefox anterior a 39.0, Firefox ESR 31.x anterior a 31.8 y 38.x anterior a 38.1, Thunderbird anterior a 38.1, y otros productos, no determina correctamente las transiciones de estado para la máquina de estados TLS, lo que permite a atacantes man-in-the-middle derrotar los mecanismos de protección criptográfica mediante el bloqueo de mensajes, tal y como fue demostrado mediante la eliminación de una propiedad de confidencialidad adelantada mediante el bloqueo de un mensaje ServerKeyExchange, también conocido como un problema de 'SMACK SKIP-TLS' .
Vulnerabilidad en la función CanonicalizeXPCOMParticipant en Mozilla Firefox y Firefox ESR (CVE-2015-2722)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso después de liberación en la función CanonicalizeXPCOMParticipant en Mozilla Firefox anterior a 39.0 y Firefox ESR 31.x anterior a 31.8 y 38.x anterior a 38.1 permite a atacantes remotos ejecutar código arbitrario a través de vectores que involucran el adjunto de un objeto XMLHttpRequest a un trabajador compartido.
Vulnerabilidad en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-2724)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades no especificadas en el motor de navegación en Mozilla Firefox anterior a 39.0, Firefox ESR 31.x anterior a 31.8 y 38.x anterior a 38.1, y Thunderbird anterior a 38.1 permiten a atacantes remotos causar una denegación de servicio (corrupción de memoria y caída de aplicación) o posiblemente ejecutar código arbitrario a través de vectores desconocidos.
Vulnerabilidad en el motor de navegación en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-2725)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
Múltiples vulnerabilidades no especificadas en el motor de navegación en Mozilla Firefox anterior a 39.0, Firefox ESR 38.x anterior a 38.1, y Thunderbird anterior a 38.1 permiten a atacantes remotos causar una denegación de servicio (corrupción de memoria y caída de aplicación) o posiblemente ejecutar código arbitrario a través de vectores desconocidos.
Vulnerabilidad en Mozilla Network Security Services (CVE-2015-2730)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
Mozilla Network Security Services (NSS) anterior a 3.19.1, utilizado en Mozilla Firefox anterior a 39.0, Firefox ESR 31.x anterior a 31.8 y 38.x anterior a 38.1, y otros productos, no realiza correctamente las multiplicaciones Elliptical Curve Cryptography (ECC), lo que facilita a atacantes remotos falsificar firmas ECDSA a través de vectores no especificados.
Vulnerabilidad en la función CairoTextureClientD3D9::BorrowDrawTarget en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-2734)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
La función CairoTextureClientD3D9::BorrowDrawTarget en la implementación Direct3D 9 en Mozilla Firefox anterior a 39.0, Firefox ESR 31.x anterior a 31.8 y 38.x anterior a 38.1, y Thunderbird anterior a 38.1 lee datos de localizaciones de memoria no inicializada, lo que tiene un impacto y vectores de ataque no especificados.
Vulnerabilidad en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-2735)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
nsZipArchive.cpp en Mozilla Firefox anterior a 39.0, Firefox ESR 31.x anterior a 31.8 y 38.x anterior a 38.1, y Thunderbird anterior a 38.1 accede a localizaciones de memoria no intencionadas, lo que permite a atacantes remotos tener un impacto no especificado a través de un archivo ZIP manipulado.
Vulnerabilidad en la función nsZipArchive::BuildFileList en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-2736)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
La función nsZipArchive::BuildFileList en Mozilla Firefox anterior a 39.0, Firefox ESR 31.x anterior a 31.8 y 38.x anterior a 38.1, y Thunderbird anterior a 38.1 accede a localizaciones de memoria no intencionadas, lo que permite a atacantes remotos tener un impacto no especificado a través de un archivo ZIP manipulado.
Vulnerabilidad en la función rx::d3d11::SetBufferData en Mozilla Firefox Firefox ESR y Thunderbird (CVE-2015-2737)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
La función rx::d3d11::SetBufferData en la implementación Direct3D 11 en Mozilla Firefox anterior a 39.0, Firefox ESR 31.x anterior a 31.8 y 38.x anterior a 38.1, y Thunderbird anterior a 38.1 lee datos de localizaciones de memoria no inicializada, lo que tiene un impacto y vectores de ataque no especificados.
Vulnerabilidad en la función YCbCrImageDataDeserializer::ToDataSourceSurface en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-2738)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
La función YCbCrImageDataDeserializer::ToDataSourceSurface en la implementación YCbCr en Mozilla Firefox anterior a 39.0, Firefox ESR 31.x anterior a 31.8 y 38.x anterior a 38.1, y Thunderbird anterior a 38.1 lee datos de localizaciones de memoria no inicializadas, lo que tiene un impacto y vectores de ataque no especificados.
Vulnerabilidad en la función ArrayBufferBuilder::append en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-2739)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
La función ArrayBufferBuilder::append en Mozilla Firefox anterior a 39.0, Firefox ESR 31.x anterior a 31.8 y 38.x anterior a 38.1, y Thunderbird anterior a 38.1 accede a localizaciones de memoria no intencionadas, lo que tiene un impacto y vectores de ataque no especificados.
Vulnerabilidad en la función nsXMLHttpRequest::AppendToResponseText en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-2740)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
Desbordamiento de buffer en la función nsXMLHttpRequest::AppendToResponseText en Mozilla Firefox anterior a 39.0, Firefox ESR 31.x anterior a 31.8 y 38.x anterior a 38.1, y Thunderbird anterior a 38.1 podría permitir a atacantes remotos causar una denegación de servicio o tener otro impacto no especificado a través de vectores desconocidos.
Vulnerabilidad en Mozilla Firefox y Firefox ESR (CVE-2015-2743)
Severidad: Pendiente de análisis
Fecha de publicación: 06/07/2015
Fecha de última actualización: 21/10/2024
PDF.js en Mozilla Firefox anterior a 39.0 y Firefox ESR 31.x anterior a 31.8 y 38.x anterior a 38.1 habilita privilegios excesivos para los trabajadores internos, lo que podría permitir a atacantes remotos ejecutar código arbitrario mediante el aprovechamiento de una evasión de Same Origin Policy.
Vulnerabilidad en el analizador XML en Mozilla Firefox, Firefox ESR y Thunderbird (CVE-2015-2716)
Severidad: Pendiente de análisis
Fecha de publicación: 14/05/2015
Fecha de última actualización: 21/10/2024
Desbordamiento de buffer en el analizador XML en Mozilla Firefox en versiones anteriores a 38.0, Firefox ESR 31.x en versiones anteriores a 31.7 y Thunderbird en versiones anteriores a 31.7 permite a atacantes remotos ejecutar código arbitrario proporcionando una gran cantidad de datos XML comprimidos, un problema relacionado con CVE-2015-1283.
Vulnerabilidad en productos Mozilla (CVE-2016-5280)
Severidad: CRÍTICA
Fecha de publicación: 22/09/2016
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso de memoria previamente liberada en la función mozilla::nsTextNodeDirectionalityMap::RemoveElementFromMap en Mozilla Firefox en versiones anteriores a la 49.0, Firefox ESR en versiones 45.x anteriores a la 45.4 y Thunderbird en versiones anteriores a la 45.4 permite que los atacantes remotos ejecuten código arbitrario mediante texto bidireccional.
Vulnerabilidad en productos Mozilla (CVE-2016-5281)
Severidad: CRÍTICA
Fecha de publicación: 22/09/2016
Fecha de última actualización: 21/10/2024
Vulnerabilidad de uso de memoria previamente liberada en la claseDOMSVGLength en Mozilla Firefox en versiones anteriores a la 49.0, Firefox ESR en versiones 45.x anteriores a la 45.4 y Thunderbird en versiones anteriores a la 45.4 permite que los atacantes remotos ejecuten código arbitrario utilizando la interacción errónea código JavaScript y un documento SVG.
Vulnerabilidad en productos Mozilla (CVE-2016-5284)
Severidad: ALTA
Fecha de publicación: 22/09/2016
Fecha de última actualización: 21/10/2024
Mozilla Firefox en versiones anteriores a la 49.0, Firefox ESR en versiones 45.x anteriores a la 45.4 y Thunderbird en versiones anteriores a la 45.4 confían en fechas de expiración erróneas para Preloaded Public Key Pinning, lo que permite a los atacantes Man-in-the-Middle (MitM) suplantar las actualizaciones de los add-ons aprovechando la posesión de un certificado de servidor X.509 para addons.mozilla.org firmado por una autoridad certificadora integrada arbitraria.
Vulnerabilidad en productos Mozilla (CVE-2017-5462)
Severidad: MEDIA
Fecha de publicación: 11/06/2018
Fecha de última actualización: 21/10/2024
Error en la generación de números DRBG en la biblioteca Network Security Services (NSS) cuando el V de estado interno no transporta bits correctamente. La biblioteca NSS ha sido actualizada para solucionar este problema y Firefox ESR 52.1 ha sido actualizado con la versión 3.28.4 de NSS. La vulnerabilidad afecta a Thunderbird en versiones anteriores a la 52.1, Firefox ESR en versiones anteriores a la 45.9, Firefox en versiones anteriores a la 52.1 y Firefox en versiones anteriores a la 53.
Vulnerabilidad en productos Mozilla (CVE-2018-12360)
Severidad: ALTA
Fecha de publicación: 18/10/2018
Fecha de última actualización: 21/10/2024
Puede ocurrir una vulnerabilidad de uso de memoria previamente liberada al eliminar un elemento input durante un manejador de eventos de mutación que se desencadena al focalizar dicho elemento. Esto resulta en un cierre inesperado potencialmente explotable. La vulnerabilidad afecta a Thunderbird en versiones anteriores a la 60 y la 52.9, Firefox ESR en versiones anteriores a la 60.1 y la 52.9 y Firefox en versiones anteriores a la 61.
Vulnerabilidad en productos Mozilla (CVE-2018-12365)
Severidad: MEDIA
Fecha de publicación: 18/10/2018
Fecha de última actualización: 21/10/2024
Un proceso hijo IPC comprometido puede escapar el sandbox de contenido y listar los nombres de archivos arbitrarios en el sistema de archivos sin consentimiento o interacción del usuario. Esto podría resultar en la exposición de archivos locales privados. La vulnerabilidad afecta a Thunderbird en versiones anteriores a la 60 y la 52.9, Firefox ESR en versiones anteriores a la 60.1 y la 52.9 y Firefox en versiones anteriores a la 61.
Vulnerabilidad en productos Mozilla (CVE-2018-12366)
Severidad: MEDIA
Fecha de publicación: 18/10/2018
Fecha de última actualización: 21/10/2024
Un tamaño de cuadrícula inválido durante las transformaciones QCMS (perfil de color) puede resultar en la lectura fuera de límites interpretada como valor float. Esto podría conducir al filtrado de datos privados en la salida. La vulnerabilidad afecta a Thunderbird en versiones anteriores a la 60 y la 52.9, Firefox ESR en versiones anteriores a la 60.1 y la 52.9 y Firefox en versiones anteriores a la 61.
Vulnerabilidad en productos Mozilla (CVE-2018-12364)
Severidad: ALTA
Fecha de publicación: 18/10/2018
Fecha de última actualización: 21/10/2024
Los plugins NPAPI, como Adobe Flash, pueden enviar peticiones cross-origin, omitiendo CORS al hacer un POST same-origin que realiza una redirección 307 al sitio objetivo. Esto permite que un sitio malicioso se vea envuelto en ataques Cross-Site Request Forgery (CSRF). La vulnerabilidad afecta a Thunderbird en versiones anteriores a la 60 y la 52.9, Firefox ESR en versiones anteriores a la 60.1 y la 52.9 y Firefox en versiones anteriores a la 61.
Vulnerabilidad en productos Mozilla (CVE-2018-12363)
Severidad: ALTA
Fecha de publicación: 18/10/2018
Fecha de última actualización: 21/10/2024
Puede ocurrir una vulnerabilidad de uso de memoria previamente liberada cuando script emplea eventos de mutación para mover nodos DOM entre documentos, lo que resulta en el que documento antiguo que sostenía el nodo se liberase, pero dicho nodo seguía teniendo un puntero referenciándolo. Esto resulta en un cierre inesperado potencialmente explotable. La vulnerabilidad afecta a Thunderbird en versiones anteriores a la 60 y la 52.9, Firefox ESR en versiones anteriores a la 60.1 y la 52.9 y Firefox en versiones anteriores a la 61.
Vulnerabilidad en productos Mozilla (CVE-2018-12362)
Severidad: ALTA
Fecha de publicación: 18/10/2018
Fecha de última actualización: 21/10/2024
Puede ocurrir un desbordamiento de enteros durante las operaciones de gráficos realizadas por el escalador SSSE3 (Supplemental Streaming SIMD Extensions 3), lo que resulta en un cierre inesperado potencialmente explotable. La vulnerabilidad afecta a Thunderbird en versiones anteriores a la 60 y la 52.9, Firefox ESR en versiones anteriores a la 60.1 y la 52.9 y Firefox en versiones anteriores a la 61.
Vulnerabilidad en productos Mozilla (CVE-2018-5156)
Severidad: CRÍTICA
Fecha de publicación: 18/10/2018
Fecha de última actualización: 21/10/2024
Puede ocurrir una vulnerabilidad al capturar una transmisión de medios cuando el tipo de origen de medios se cambia al mismo tiempo que se realiza la captura. Esto puede resultar en que los datos de transmisión se envían al tipo erróneo, lo que provoca un cierre inesperado potencialmente explotable. La vulnerabilidad afecta a Thunderbird en versiones anteriores a la 60, Firefox ESR en versiones anteriores a la 60.1, Firefox en versiones anteriores a la 52.1 y Firefox en versiones anteriores a la 61.
Vulnerabilidad en productos Mozilla (CVE-2018-5188)
Severidad: CRÍTICA
Fecha de publicación: 18/10/2018
Fecha de última actualización: 21/10/2024
Hay errores de seguridad de memoria en Firefox 60, Firefox ESR 60 y Firefox ESR 52.8. Algunos de estos errores mostraron evidencias de corrupción de memoria y se entiende que, con el suficiente esfuerzo, algunos de estos podrían explotarse para ejecutar código arbitrario. La vulnerabilidad afecta a Thunderbird en versiones anteriores a la 60 y la 52.9, Firefox ESR en versiones anteriores a la 60.1 y la 52.9 y Firefox en versiones anteriores a la 61.
Vulnerabilidad en la función evutil_parse_sockaddr_port en evutil.c en libevent (CVE-2016-10196)
Severidad: ALTA
Fecha de publicación: 15/03/2017
Fecha de última actualización: 21/10/2024
Desbordamiento de búfer en la función evutil_parse_sockaddr_port en evutil.c en libevent en versiones anteriores a 2.1.6-beta permite a atacantes provocar una denegación de servicio (fallo de segmentación) a través de vectores que implican una cadena larga entre corchetes en el argumento ip_as_string.
Vulnerabilidad en productos Mozilla (CVE-2018-12368)
Severidad: ALTA
Fecha de publicación: 18/10/2018
Fecha de última actualización: 21/10/2024
Windows 10 no advierte a los usuarios antes de abrir archivos ejecutables con la extensión SettingContent-ms incluso aunque hayan sido descargados de Internet y tengan la "marca de la web". Sin la advertencia, los usuarios incautos que no están familiarizados con este nuevo tipo de archivo podrían ejecutar un archivo no deseado. Esto también permite que una WebExtension con el permiso limitado downloads.open ejecute código arbitrario sin interacción del usuario en sistemas Windows 10. Nota: este problema solo afecta a sistemas operativos Windows. Otros sistemas operativos no se han visto afectados *. La vulnerabilidad afecta a Thunderbird en versiones anteriores a la 60 y la 52.9, Firefox ESR en versiones anteriores a la 60.1 y la 52.9 y Firefox en versiones anteriores a la 61.
Vulnerabilidad en algunos elementos HTML, tales como <title> y <textarea> en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11744)
Severidad: MEDIA
Fecha de publicación: 27/09/2019
Fecha de última actualización: 21/10/2024
Algunos elementos HTML, tales como <title> y <textarea>, puede contener corchetes angulares literales sin tratarlos como un marcado. Es posible pasar una etiqueta de cierre literal a .innerHTML en estos elementos, y el contenido posterior se analizará como si estuviera fuera de la etiqueta. Esto puede conllevar a un ataque de tipo XSS si un sitio no filtra la entrada del usuario tan estrictamente para estos elementos como lo hace para otros elementos. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69, Thunderbird versiones anteriores a 68.1, Thunderbird versiones anteriores a 60.9, Firefox versiones anteriores a 60.9 y Firefox ESR versiones anteriores a 68.1.
Vulnerabilidad en una página web en el objeto InstallTrigger en la función eval() en una ventana about:blank en Firefox, Thunderbird, Firefox ESR y Firefox para Android (CVE-2020-15664)
Severidad: MEDIA
Fecha de publicación: 01/10/2020
Fecha de última actualización: 21/10/2024
Al mantener una referencia a la función eval() desde una ventana about:blank, una página web maliciosa podría haber conseguido acceso al objeto InstallTrigger, lo que le permitiría solicitar al usuario que instale una extensión. Combinado con la confusión del usuario, esto podría resultar en la instalación de una extensión maliciosa o involuntaria. Esta vulnerabilidad afecta a Firefox versiones anteriores a 80, Thunderbird versiones anteriores a 78.2, Thunderbird versiones anteriores a 68.12, Firefox ESR versiones anteriores a 68.12, Firefox ESR versiones anteriores a 78.2 y Firefox para Android versiones anteriores a 80
Vulnerabilidad en un proceso de contenido comprometido dentro del sandbox en accounts.firefox.com en Firefox ESR y Firefox (CVE-2019-9812)
Severidad: CRÍTICA
Fecha de publicación: 08/01/2020
Fecha de última actualización: 21/10/2024
Dado un proceso de contenido comprometido dentro del sandbox debido a una vulnerabilidad separada, es posible escapar de ese sandbox cargando accounts.firefox.com en ese proceso y forzando un inicio de sesión en una cuenta de Firefox Sync maliciosa. La configuración de preferencias que deshabilita el sandbox es sincronizada con la máquina local y el navegador comprometido se reiniciará sin el sandbox si es activado un bloqueo. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 60.9, Firefox ESR versiones anteriores a la versión 68.1 y Firefox versiones anteriores a la versión 69.
Vulnerabilidad en la pila de errores de JavaScript en los trabajadores web en Firefox, Firefox ESR y Thunderbird (CVE-2020-15652)
Severidad: MEDIA
Fecha de publicación: 10/08/2020
Fecha de última actualización: 21/10/2024
Al observar el seguimiento de la pila de errores de JavaScript en los trabajadores web, fue posible filtrar el resultado de un redireccionamiento de origen cruzado. Esto se aplica solo al contenido que puede ser analizado como script. Esta vulnerabilidad afecta a Firefox versiones anteriores a 79, Firefox ESR versiones anteriores a 68.11, Firefox ESR versiones anteriores a 78.1, Thunderbird versiones anteriores a 68.11 y Thunderbird versiones anteriores a 78.1
Vulnerabilidad en el archivo Updater.exe en el Servicio de Mantenimiento en un directorio escribible por el usuario en Mozilla (CVE-2020-15663)
Severidad: ALTA
Fecha de publicación: 01/10/2020
Fecha de última actualización: 21/10/2024
Si Firefox está instalado en un directorio escribible por el usuario, el Servicio de Mantenimiento de Mozilla ejecutará el archivo updater.exe desde la ubicación de instalación con privilegios del sistema. Aunque el Servicio de Mantenimiento de Mozilla garantiza que el archivo updater.exe esté firmado por Mozilla, la versión podría haberse revertido a una versión anterior, lo que podría haber permitido una explotación de un error anterior y una ejecución de código arbitrario con Privilegios System. *Nota: este problema solo afectó a los sistemas operativos Windows. Otros sistemas operativos no están afectados.*. Esta vulnerabilidad afecta a Firefox versiones anteriores a 80, Thunderbird versiones anteriores a 78.2, Thunderbird versiones anteriores a 68.12, Firefox ESR versiones anteriores a 68.12 y Firefox ESR versiones anteriores a 78.2
Vulnerabilidad en las operaciones en MessageTasks en Thunderbird, Firefox ESR y Firefox (CVE-2021-38496)
Severidad: ALTA
Fecha de publicación: 03/11/2021
Fecha de última actualización: 21/10/2024
Durante las operaciones en MessageTasks, una tarea puede haber sido eliminada mientras todavía estaba programada, resultando en una corrupción de memoria y un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 78.15, Thunderbird versiones anteriores a 91.2, Firefox ESR versiones anteriores a 91.2, Firefox ESR versiones anteriores a 78.15 y Firefox versiones anteriores a 93
Vulnerabilidad en Firefox y Firefox ESR (CVE-2021-38500)
Severidad: ALTA
Fecha de publicación: 03/11/2021
Fecha de última actualización: 21/10/2024
Los desarrolladores de Mozilla informaron de bugs de seguridad de memoria presentes en Firefox 92 y Firefox ESR 91.1. Algunos de estos bugs mostraban evidencias de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 78.15, Thunderbird versiones anteriores a 91.2, Firefox ESR versiones anteriores a 91.2, Firefox ESR versiones anteriores a 78.15 y Firefox versiones anteriores a 93
Vulnerabilidad en Firefox ESR, Thunderbird y Firefox (CVE-2022-38473)
Severidad: ALTA
Fecha de publicación: 22/12/2022
Fecha de última actualización: 21/10/2024
Un iframe de origen cruzado que haga referencia a un documento XSLT heredaría los permisos del dominio principal (como el acceso al micrófono o la cámara). Esta vulnerabilidad afecta a Thunderbird < 102.2, Thunderbird < 91.13, Firefox ESR < 91.13, Firefox ESR < 102.2 y Firefox < 104.
Vulnerabilidad en Firefox ESR, Thunderbird y Firefox (CVE-2022-38472)
Severidad: MEDIA
Fecha de publicación: 22/12/2022
Fecha de última actualización: 21/10/2024
Un atacante podría haber abusado del manejo de errores XSLT para asociar contenido controlado por el atacante con otro origen que se mostraba en la barra de direcciones. Esto podría haberse utilizado para engañar al usuario para que envíe datos destinados al origen falsificado. Esta vulnerabilidad afecta a Thunderbird < 102.2, Thunderbird < 91.13, Firefox ESR < 91.13, Firefox ESR < 102.2 y Firefox < 104.
Vulnerabilidad en libpng (CVE-2019-7317)
Severidad: MEDIA
Fecha de publicación: 04/02/2019
Fecha de última actualización: 21/10/2024
La función png_image_free en el archivo png.c en libpng versiones 1.6.x anteriores a 1.6.37, presenta un uso de la memoria previamente liberada porque la función png_image_free_function es llamada bajo png_safe_execute.
Vulnerabilidad en el esquema "mk" en Firefox (CVE-2021-38492)
Severidad: MEDIA
Fecha de publicación: 03/11/2021
Fecha de última actualización: 21/10/2024
Cuando se delegaba la navegación al sistema operativo, Firefox aceptaba el esquema "mk" que podía permitir a atacantes lanzar páginas y ejecutar scripts en Internet Explorer en modo no privilegiado. *Este bug sólo afecta a Firefox para Windows. Los demás sistemas operativos no están afectados*. Esta vulnerabilidad afecta a Firefox versiones anteriores a 92, Thunderbird versiones anteriores a 91.1, Thunderbird versiones anteriores a 78.14, Firefox ESR versiones anteriores a 78.14 y Firefox ESR versiones anteriores a 91.1
Vulnerabilidad en Firefox ESR, Thunderbird y Firefox (CVE-2022-38478)
Severidad: ALTA
Fecha de publicación: 22/12/2022
Fecha de última actualización: 21/10/2024
Los miembros del equipo Mozilla Fuzzing informaron errores de seguridad de la memoria presentes en Firefox 103, Firefox ESR 102.1 y Firefox ESR 91.12. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haberse aprovechado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Thunderbird < 102.2, Thunderbird < 91.13, Firefox ESR < 91.13, Firefox ESR < 102.2 y Firefox < 104.
Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2023-4054)
Severidad: MEDIA
Fecha de publicación: 01/08/2023
Fecha de última actualización: 21/10/2024
Al abrir archivos appref-ms, Firefox no advertía al usuario de que estos archivos podían contener código malicioso. Este fallo sólo afecta a Firefox en Windows. Otros sistemas operativos no están afectados. Esta vulnerabilidad afecta a versiones anteriores de Firefox 116, Firefox ESR 102.14, Firefox ESR 115.1, Thunderbird 102.14, y Thunderbird 115.1.
Vulnerabilidad en Firefox y Firefox ESR (CVE-2023-4055)
Severidad: ALTA
Fecha de publicación: 01/08/2023
Fecha de última actualización: 21/10/2024
Cuando se superaba el número de cookies por dominio en `document.cookie`, el tarro de cookies real enviado al host ya no era coherente con el estado de tarro de cookies esperado. Esto podía provocar que se enviasen peticiones en las que faltasen algunas cookies. Esta vulnerabilidad afecta a las versiones anteriores a Firefox 116, Firefox ESR 102.14, y Firefox ESR 115.1.
Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2023-4056)
Severidad: CRÍTICA
Fecha de publicación: 01/08/2023
Fecha de última actualización: 21/10/2024
Fallos de seguridad de memoria presentes en Firefox 115, Firefox ESR 115.0, Firefox ESR 102.13, Thunderbird 115.0 y Thunderbird 102.13. Algunos de estos fallos mostraban evidencias de corrupción de memoria y suponemos que con el suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a versiones inferiores de Firefox 116, Firefox ESR 102.14, y Firefox ESR 115.1.
Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2023-4573)
Severidad: MEDIA
Fecha de publicación: 11/09/2023
Fecha de última actualización: 21/10/2024
Al recibir datos de representación a través de IPC, `mStream` podría haberse destruido al inicializarse, lo que podría haber dado lugar a un uso después de la liberación que provocaría un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox < 117, Firefox ESR < 102.15, Firefox ESR < 115.2 y Thunderbird < 115.2.
Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2023-4574)
Severidad: MEDIA
Fecha de publicación: 11/09/2023
Fecha de última actualización: 21/10/2024
Al crear una devolución de llamada a través de IPC para mostrar la ventana Color Picker, se podrían haber creado varias devoluciones de llamada iguales a la vez y eventualmente todas destruidas simultáneamente tan pronto como finalice una de las devoluciones de llamada. Esto podría haber llevado a un uso después de la liberación que provocó un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox < 117, Firefox ESR < 102.15, Firefox ESR < 115.2 y Thunderbird < 115.2.
Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2023-4575)
Severidad: MEDIA
Fecha de publicación: 11/09/2023
Fecha de última actualización: 21/10/2024
Al crear una devolución de llamada a través de IPC para mostrar la ventana File Picker, se podrían haber creado varias devoluciones de llamada iguales a la vez y eventualmente todas destruidas simultáneamente tan pronto como finalice una de las devoluciones de llamada. Esto podría haber llevado a un uso después de la liberación que provocó un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox < 117, Firefox ESR < 102.15, Firefox ESR < 115.2 y Thunderbird < 115.2.
Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2023-4576)
Severidad: ALTA
Fecha de publicación: 11/09/2023
Fecha de última actualización: 21/10/2024
En Windows, podría ocurrir un desbordamiento de enteros en `RecordedSourceSurfaceCreation`, lo que resultó en un desbordamiento del búfer que podría filtrar datos confidenciales que podrían haber llevado a un escape de la sandbox. *Este error sólo afecta a Firefox en Windows. Otros sistemas operativos no se ven afectados.* Esta vulnerabilidad afecta a Firefox < 117, Firefox ESR < 102.15, Firefox ESR < 115.2 y Thunderbird < 115.2.
Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2023-4584)
Severidad: ALTA
Fecha de publicación: 11/09/2023
Fecha de última actualización: 21/10/2024
Errores de seguridad de la memoria presentes en Firefox 116, Firefox ESR 102.14, Firefox ESR 115.1, Thunderbird 102.14 y Thunderbird 115.1. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haberse aprovechado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox < 117, Firefox ESR < 102.15, Firefox ESR < 115.2 y Thunderbird < 115.2.
Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2023-4581)
Severidad: MEDIA
Fecha de publicación: 11/09/2023
Fecha de última actualización: 21/10/2024
Los archivos complementarios `.xll` de Excel no tenían una entrada en la lista de bloqueo ejecutable de Firefox, lo que permitía descargarlos sin ninguna advertencia sobre su daño potencial. Esta vulnerabilidad afecta a Firefox < 117, Firefox ESR < 102.15, Firefox ESR < 115.2 y Thunderbird < 115.2.
Vulnerabilidad en Oracle Database Core de Oracle Database Server (CVE-2024-21233)
Severidad: MEDIA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el componente Oracle Database Core de Oracle Database Server. Las versiones compatibles afectadas son 19.3-19.24, 21.3-21.15 y 23.4-23.5. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios bajos que tenga el privilegio de Crear sesión con acceso a la red a través de Oracle Net ponga en peligro Oracle Database Core. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado un acceso no autorizado a actualizaciones, inserciones o eliminaciones de algunos datos accesibles de Oracle Database Core. Puntuación base CVSS 3.1 4.3 (impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N).
Vulnerabilidad en XML Database de Oracle Database Server (CVE-2024-21242)
Severidad: BAJA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el componente XML Database de Oracle Database Server. Las versiones compatibles afectadas son 19.3-19.24, 21.3-21.15 y 23.4-23.5. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y privilegios de creación de sesión con acceso a la red a través de HTTP comprometa XML Database. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de provocar una denegación de servicio parcial (DOS parcial) de XML Database. Puntuación base de CVSS 3.1: 3,5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L).
Vulnerabilidad en MySQL Connectors de Oracle MySQL (CVE-2024-21262)
Severidad: MEDIA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto MySQL Connectors de Oracle MySQL (componente: Connector/ODBC). Las versiones compatibles afectadas son 9.0.0 y anteriores. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos ponga en peligro MySQL Connectors. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de MySQL Connectors y la capacidad no autorizada de provocar una denegación de servicio parcial (DOS parcial) de MySQL Connectors. Puntuación base de CVSS 3.1: 6,5 (impactos en la integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L).
Vulnerabilidad en Oracle Field Service de Oracle E-Business Suite (CVE-2024-21271)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Field Service de Oracle E-Business Suite (componente: Field Service Engineer Portal). Las versiones compatibles afectadas son 12.2.3-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP comprometa Oracle Field Service. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Field Service, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Field Service. Puntuación base CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en MySQL Connectors de Oracle MySQL (CVE-2024-21272)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto MySQL Connectors de Oracle MySQL (componente: Connector/Python). Las versiones compatibles afectadas son 9.0.0 y anteriores. Esta vulnerabilidad, que es difícil de explotar, permite que un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos ponga en peligro MySQL Connectors. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la toma de control de MySQL Connectors. Puntuación base CVSS 3.1: 7,5 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en Oracle Banking Liquidity Management de Oracle Financial Services Applications (CVE-2024-21281)
Severidad: MEDIA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Banking Liquidity Management de Oracle Financial Services Applications (componente: Infraestructura). La versión compatible afectada es la 14.7.0.6.0. Esta vulnerabilidad, difícil de explotar, permite que un atacante con privilegios elevados y acceso a la red a través de HTTP ponga en peligro Oracle Banking Liquidity Management. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizadas de datos críticos o de todos los datos accesibles de Oracle Banking Liquidity Management, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Banking Liquidity Management y la capacidad no autorizada de provocar una denegación de servicio parcial (DOS parcial) de Oracle Banking Liquidity Management. Puntuación base CVSS 3.1 5.3 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:H/A:L).
Vulnerabilidad en PeopleSoft Enterprise ELM Enterprise Learning Management de Oracle PeopleSoft (CVE-2024-21286)
Severidad: MEDIA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto PeopleSoft Enterprise ELM Enterprise Learning Management de Oracle PeopleSoft (componente: Enterprise Learning Management). La versión compatible afectada es la 9.2. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa PeopleSoft Enterprise ELM Enterprise Learning Management. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad se encuentra en PeopleSoft Enterprise ELM Enterprise Learning Management, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la actualización, inserción o eliminación no autorizada de algunos datos accesibles de PeopleSoft Enterprise ELM Enterprise Learning Management, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise ELM Enterprise Learning Management. Puntuación base de CVSS 3.1: 5,4 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Oracle Site Hub de Oracle E-Business Suite (CVE-2024-21265)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Site Hub de Oracle E-Business Suite (componente: Site Hierarchy Flows). Las versiones compatibles afectadas son 12.2.3-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa Oracle Site Hub. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizadas de datos críticos o de todos los datos accesibles de Oracle Site Hub, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Site Hub. Puntuación base de CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Advanced Pricing de Oracle E-Business Suite (CVE-2024-21266)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Advanced Pricing de Oracle E-Business Suite (componente: Lista de precios). Las versiones compatibles afectadas son 12.2.3-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa Oracle Advanced Pricing. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Advanced Pricing, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Advanced Pricing. Puntuación base de CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Cost Management de Oracle E-Business Suite (CVE-2024-21267)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Cost Management de Oracle E-Business Suite (componente: Cost Planning). Las versiones compatibles afectadas son 12.2.12-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa Oracle Cost Management. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Cost Management, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Cost Management. Puntuación base CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Applications Manager de Oracle E-Business Suite (CVE-2024-21268)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Applications Manager de Oracle E-Business Suite (componente: Diagnóstico). Las versiones compatibles afectadas son 12.2.11-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP comprometa Oracle Applications Manager. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Applications Manager, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Applications Manager. Puntuación base de CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Incentive Compensation de Oracle E-Business Suite (CVE-2024-21269)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Incentive Compensation de Oracle E-Business Suite (componente: Compensation Plan). Las versiones compatibles afectadas son 12.2.3-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP comprometa Oracle Incentive Compensation. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Incentive Compensation, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Incentive Compensation. Puntuación base CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Common Applications Calendar de Oracle E-Business Suite (CVE-2024-21270)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Common Applications Calendar de Oracle E-Business Suite (componente: Tareas). Las versiones compatibles afectadas son 12.2.6-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa Oracle Common Applications Calendar. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Common Applications Calendar, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Common Applications Calendar. Puntuación base de CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Quoting de Oracle E-Business Suite (CVE-2024-21275)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Quoting de Oracle E-Business Suite (componente: Interfaz de usuario). Las versiones compatibles afectadas son 12.2.7-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa Oracle Quoting. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Quoting, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Quoting. Puntuación base de CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Work in Process de Oracle E-Business Suite (CVE-2024-21276)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Work in Process de Oracle E-Business Suite (componente: Messages). Las versiones compatibles afectadas son 12.2.3-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa Oracle Work in Process. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Work in Process, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Work in Process. Puntuación base CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle MES for Process Manufacturing de Oracle E-Business Suite (CVE-2024-21277)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle MES for Process Manufacturing de Oracle E-Business Suite (componente: Device Integration). Las versiones compatibles afectadas son 12.2.3-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP comprometa Oracle MES for Process Manufacturing. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle MES for Process Manufacturing, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle MES for Process Manufacturing. Puntuación base CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Contract Lifecycle Management for Public Sector de Oracle E-Business Suite (CVE-2024-21278)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Contract Lifecycle Management for Public Sector de Oracle E-Business Suite (componente: Procesos de adjudicación). Las versiones compatibles afectadas son 12.2.3-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa Oracle Contract Lifecycle Management for Public Sector. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Contract Lifecycle Management for Public Sector, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Contract Lifecycle Management for Public Sector. Puntuación base CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Sourcing de Oracle E-Business Suite (CVE-2024-21279)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Sourcing de Oracle E-Business Suite (componente: Subastas). Las versiones compatibles afectadas son 12.2.3-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa Oracle Sourcing. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Sourcing, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Sourcing. Puntuación base CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Service Contracts de Oracle E-Business Suite (CVE-2024-21280)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Service Contracts de Oracle E-Business Suite (componente: Authoring). Las versiones compatibles afectadas son 12.2.5-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP comprometa Oracle Service Contracts. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Service Contracts, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Service Contracts. Puntuación base de CVSS 3.1: 8.1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Financials de Oracle E-Business Suite (CVE-2024-21282)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto Oracle Financials de Oracle E-Business Suite (componente: Componentes comunes). Las versiones compatibles afectadas son 12.2.3-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP ponga en peligro Oracle Financials. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Financials, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Financials. Puntuación base CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en PeopleSoft Enterprise HCM Global Payroll Core de Oracle PeopleSoft (CVE-2024-21283)
Severidad: ALTA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad en el producto PeopleSoft Enterprise HCM Global Payroll Core de Oracle PeopleSoft (componente: Global Payroll for Core). Las versiones compatibles afectadas son 9.2.48-9.2.50. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa PeopleSoft Enterprise HCM Global Payroll Core. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de PeopleSoft Enterprise HCM Global Payroll Core, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de PeopleSoft Enterprise HCM Global Payroll Core. Puntuación base de CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en OpenText Application Automation Tools (CVE-2024-4184)
Severidad: MEDIA
Fecha de publicación: 16/10/2024
Fecha de última actualización: 21/10/2024
La vulnerabilidad de restricción incorrecta de referencia de entidad externa XML en OpenText Application Automation Tools permite la inyección de DTD. Este problema afecta a OpenText Application Automation Tools: 24.1.0 y anteriores.
Vulnerabilidad en OpenText Application Automation Tools (CVE-2024-4189)
Severidad: MEDIA
Fecha de publicación: 16/10/2024
Fecha de última actualización: 21/10/2024
La vulnerabilidad de restricción incorrecta de referencia de entidad externa XML en OpenText Application Automation Tools permite la inyección de DTD. Este problema afecta a OpenText Application Automation Tools: 24.1.0 y anteriores.
Vulnerabilidad en OpenText (CVE-2024-4211)
Severidad: BAJA
Fecha de publicación: 16/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad de validación incorrecta de la cantidad especificada en la entrada en OpenText Las herramientas de automatización de aplicaciones de OpenText permiten explotar niveles de seguridad de control de acceso configurados incorrectamente. Se han descubierto múltiples comprobaciones de permisos faltantes en la configuración de trabajos de ALM en las herramientas de automatización de aplicaciones de OpenText. La vulnerabilidad podría permitir que los usuarios con permiso general/de lectura enumeren los nombres de servidor de ALM, los nombres de usuario y los ID de cliente configurados para usarse con servidores de ALM. Este problema afecta a las herramientas de automatización de aplicaciones de OpenText: 24.1.0 y anteriores.
Vulnerabilidad en OpenText Application Automation Tools (CVE-2024-4690)
Severidad: MEDIA
Fecha de publicación: 16/10/2024
Fecha de última actualización: 21/10/2024
La vulnerabilidad de restricción incorrecta de referencia de entidad externa XML en OpenText Application Automation Tools permite la inyección de DTD. Este problema afecta a OpenText Application Automation Tools: 24.1.0 y anteriores.
Vulnerabilidad en OpenText (CVE-2024-4692)
Severidad: BAJA
Fecha de publicación: 16/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad de validación incorrecta de la cantidad especificada en la entrada en OpenText Las herramientas de automatización de aplicaciones de OpenText permiten explotar niveles de seguridad de control de acceso configurados incorrectamente. Se han descubierto múltiples comprobaciones de permisos faltantes en la configuración de Service Virtualization en las herramientas de automatización de aplicaciones de OpenText. La vulnerabilidad podría permitir que los usuarios con permiso general/de lectura enumeren los nombres de los servidores de Service Virtualization. Este problema afecta a las herramientas de automatización de aplicaciones de OpenText: 24.1.0 y anteriores.
Vulnerabilidad en Mahesh Patel Mitm Bug Tracker (CVE-2024-49224)
Severidad: MEDIA
Fecha de publicación: 18/10/2024
Fecha de última actualización: 21/10/2024
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Mahesh Patel Mitm Bug Tracker permite XSS reflejado. Este problema afecta a Mitm Bug Tracker: desde n/a hasta 1.0.
Vulnerabilidad en wpPricing Builder de Swebdeveloper (CVE-2024-49225)
Severidad: MEDIA
Fecha de publicación: 18/10/2024
Fecha de última actualización: 21/10/2024
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en wpPricing Builder de Swebdeveloper permite XSS almacenado. Este problema afecta a wpPricing Builder: desde n/a hasta 1.5.0.
Vulnerabilidad en CrossedCode bVerse Convert (CVE-2024-49228)
Severidad: MEDIA
Fecha de publicación: 18/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en CrossedCode bVerse Convert permite XSS almacenado. Este problema afecta a bVerse Convert: desde n/a hasta 1.3.7.1.
Vulnerabilidad en Harpreet Singh Ajax Custom CSS/JS (CVE-2024-49230)
Severidad: MEDIA
Fecha de publicación: 18/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Harpreet Singh Ajax Custom CSS/JS permite XSS reflejado. Este problema afecta a Ajax Custom CSS/JS: desde n/a hasta 2.0.4.
Vulnerabilidad en Peter CyClop WordPress Video (CVE-2024-49231)
Severidad: MEDIA
Fecha de publicación: 18/10/2024
Fecha de última actualización: 21/10/2024
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Peter CyClop WordPress Video permite XSS almacenado. Este problema afecta a WordPress Video: desde n/a hasta 1.0.
Vulnerabilidad en Javier Loureiro El mejor Cluster (CVE-2024-49232)
Severidad: MEDIA
Fecha de publicación: 18/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Javier Loureiro El mejor Cluster permite XSS basado en DOM. Este problema afecta a El mejor Cluster: desde n/a hasta 1.1.14.
Vulnerabilidad en M. Konieczny, DH9SB ADIF Log Search Widget (CVE-2024-49238)
Severidad: MEDIA
Fecha de publicación: 18/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en M. Konieczny, DH9SB ADIF Log Search Widget permite XSS reflejado. Este problema afecta al widget de búsqueda de registros de ADIF: desde n/a hasta 1.0f.
Vulnerabilidad en Nikhil Vaghela Add Categories Post Footer (CVE-2024-49239)
Severidad: MEDIA
Fecha de publicación: 18/10/2024
Fecha de última actualización: 21/10/2024
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Nikhil Vaghela Add Categories Post Footer permite XSS reflejado. Este problema afecta a Add Categories Post Footer: desde n/a hasta 2.2.2.
Vulnerabilidad en Agustin Berasategui AB Categories Search Widget (CVE-2024-49240)
Severidad: MEDIA
Fecha de publicación: 18/10/2024
Fecha de última actualización: 21/10/2024
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Agustin Berasategui AB Categories Search Widget permite XSS reflejado. Este problema afecta al widget de búsqueda de categorías de AB: desde n/a hasta 0.2.5.
Vulnerabilidad en Tady Walsh Tito (CVE-2024-49241)
Severidad: MEDIA
Fecha de publicación: 18/10/2024
Fecha de última actualización: 21/10/2024
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Tady Walsh Tito permite XSS basado en DOM. Este problema afecta a Tito: desde n/a hasta 2.3.