Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2012-0455

Опубликовано: 14 мар. 2012
Источник: nvd
CVSS2: 4.3
EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Mozilla Firefox, Thunderbird и SeaMonkey из-за некорректного ограничения операций drag-and-drop на javascript: URLs

Описание

в Mozilla Firefox, Thunderbird и SeaMonkey существует уязвимость, связанная с некорректным ограничением операций drag-and-drop на javascript: URLs. Эта уязвимость позволяет злоумышленникам, используя специально сформированную веб-страницу и при содействии пользователя, проводить межсайтовые скриптинговые (XSS) атаки. Проблема связана с так называемым "DragAndDropJacking".

Затронутые версии ПО

  • Mozilla Firefox до версии 3.6.28 и 4.x по 10.0
  • Firefox ESR 10.x до версии 10.0.3
  • Thunderbird до версии 3.1.20 и 5.0 по 10.0
  • Thunderbird ESR 10.x до версии 10.0.3
  • SeaMonkey до версии 2.8

Тип уязвимости

Межсайтовый скриптинг (XSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 3.6.27 (включая)
Конфигурация 2

Одно из

cpe:2.3:a:mozilla:firefox:4.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta1:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta10:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta11:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta12:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta2:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta3:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta4:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta5:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta6:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta7:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta8:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0:beta9:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:4.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:5.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:5.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:6.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:6.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:6.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:7.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:7.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:8.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:8.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:9.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:9.0.1:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:mozilla:firefox:10.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:10.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:10.2:*:*:*:*:*:*:*
Конфигурация 4
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 3.1.19 (включая)
Конфигурация 5

Одно из

cpe:2.3:a:mozilla:thunderbird:5.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:6.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:6.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:6.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:8.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:9.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:9.0.1:*:*:*:*:*:*:*
Конфигурация 6

Одно из

cpe:2.3:a:mozilla:thunderbird_esr:10.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:10.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:10.0.2:*:*:*:*:*:*:*
Конфигурация 7
cpe:2.3:a:mozilla:seamonkey:*:beta5:*:*:*:*:*:*
Версия до 2.7 (включая)

EPSS

Процентиль: 76%
0.01014
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2012-0455

ubuntu
больше 13 лет назад

Mozilla Firefox before 3.6.28 and 4.x through 10.0, Firefox ESR 10.x before 10.0.3, Thunderbird before 3.1.20 and 5.0 through 10.0, Thunderbird ESR 10.x before 10.0.3, and SeaMonkey before 2.8 do not properly restrict drag-and-drop operations on javascript: URLs, which allows user-assisted remote attackers to conduct cross-site scripting (XSS) attacks via a crafted web page, related to a "DragAndDropJacking" issue.

redhat логотип

CVE-2012-0455

redhat
больше 13 лет назад

Mozilla Firefox before 3.6.28 and 4.x through 10.0, Firefox ESR 10.x before 10.0.3, Thunderbird before 3.1.20 and 5.0 through 10.0, Thunderbird ESR 10.x before 10.0.3, and SeaMonkey before 2.8 do not properly restrict drag-and-drop operations on javascript: URLs, which allows user-assisted remote attackers to conduct cross-site scripting (XSS) attacks via a crafted web page, related to a "DragAndDropJacking" issue.

debian логотип

CVE-2012-0455

debian
больше 13 лет назад

Mozilla Firefox before 3.6.28 and 4.x through 10.0, Firefox ESR 10.x b ...

github логотип

GHSA-v6mh-5q54-hvfp

github
больше 3 лет назад

Mozilla Firefox before 3.6.28 and 4.x through 10.0, Firefox ESR 10.x before 10.0.3, Thunderbird before 3.1.20 and 5.0 through 10.0, Thunderbird ESR 10.x before 10.0.3, and SeaMonkey before 2.8 do not properly restrict drag-and-drop operations on javascript: URLs, which allows user-assisted remote attackers to conduct cross-site scripting (XSS) attacks via a crafted web page, related to a "DragAndDropJacking" issue.

oracle-oval логотип

ELSA-2012-0388

oracle-oval
больше 13 лет назад

ELSA-2012-0388: thunderbird security update (CRITICAL)

EPSS

Процентиль: 76%
0.01014
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-79
Уязвимость CVE-2012-0455