Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2012-3992

Опубликовано: 10 окт. 2012
Источник: nvd
CVSS2: 4.3
EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) через некорректное управление историей URL в Mozilla Firefox, Thunderbird и SeaMonkey

Описание

Некорректное управление данными истории в Mozilla Firefox, Thunderbird и SeaMonkey позволяет злоумышленникам проводить межсайтовые скриптинговые атаки (XSS) или получать доступ к конфиденциальному содержимому запросов POST. Это происходит посредством операций записи в location.hash и навигации по истории, что провоцирует загрузку URL в объект истории.

Затронутые версии ПО

  • Mozilla Firefox до версии 16.0
  • Firefox ESR 10.x до версии 10.0.8
  • Thunderbird до версии 16.0
  • Thunderbird ESR 10.x до версии 10.0.8
  • SeaMonkey до версии 2.13

Тип уязвимости

  • Межсайтовый скриптинг (XSS)
  • Утечка конфиденциальных данных

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 10.0.8 (исключая)
Конфигурация 2
cpe:2.3:a:mozilla:thunderbird_esr:*:*:*:*:*:*:*:*
Версия до 10.0.8 (исключая)
Конфигурация 3
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 16.0 (исключая)
Конфигурация 4
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 16.0 (исключая)
Конфигурация 5
cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*
Версия до 2.13 (исключая)
Конфигурация 6

Одно из

cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:6.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*
Конфигурация 7

Одно из

cpe:2.3:o:suse:linux_enterprise_desktop:10:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_desktop:11:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_sdk:10:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:11:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:11:sp3:*:*:*:vmware:*:*

EPSS

Процентиль: 77%
0.01138
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2012-3992

ubuntu
почти 13 лет назад

Mozilla Firefox before 16.0, Firefox ESR 10.x before 10.0.8, Thunderbird before 16.0, Thunderbird ESR 10.x before 10.0.8, and SeaMonkey before 2.13 do not properly manage history data, which allows remote attackers to conduct cross-site scripting (XSS) attacks or obtain sensitive POST content via vectors involving a location.hash write operation and history navigation that triggers the loading of a URL into the history object.

redhat логотип

CVE-2012-3992

redhat
почти 13 лет назад

Mozilla Firefox before 16.0, Firefox ESR 10.x before 10.0.8, Thunderbird before 16.0, Thunderbird ESR 10.x before 10.0.8, and SeaMonkey before 2.13 do not properly manage history data, which allows remote attackers to conduct cross-site scripting (XSS) attacks or obtain sensitive POST content via vectors involving a location.hash write operation and history navigation that triggers the loading of a URL into the history object.

debian логотип

CVE-2012-3992

debian
почти 13 лет назад

Mozilla Firefox before 16.0, Firefox ESR 10.x before 10.0.8, Thunderbi ...

github логотип

GHSA-6x5v-cwgm-x5w9

github
больше 3 лет назад

Mozilla Firefox before 16.0, Firefox ESR 10.x before 10.0.8, Thunderbird before 16.0, Thunderbird ESR 10.x before 10.0.8, and SeaMonkey before 2.13 do not properly manage history data, which allows remote attackers to conduct cross-site scripting (XSS) attacks or obtain sensitive POST content via vectors involving a location.hash write operation and history navigation that triggers the loading of a URL into the history object.

oracle-oval логотип

ELSA-2012-1351

oracle-oval
почти 13 лет назад

ELSA-2012-1351: thunderbird security update (CRITICAL)

EPSS

Процентиль: 77%
0.01138
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-79