Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2012-3994

Опубликовано: 10 окт. 2012
Источник: nvd
CVSS2: 4.3
EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) через использование двоичного плагина в Mozilla Firefox, Thunderbird и SeaMonkey

Описание

в Mozilla Firefox, Thunderbird и SeaMonkey обнаружена уязвимость, которая позволяет злоумышленникам проводить атаки межсайтового скриптинга (XSS). Это достигается с помощью двоичного плагина, который использует метод Object.defineProperty для замещения объекта top, а также использует связь между top.location и свойством location.

Затронутые версии ПО

  • Mozilla Firefox до версии 16.0
  • Mozilla Firefox ESR 10.x до версии 10.0.8
  • Mozilla Thunderbird до версии 16.0
  • Mozilla Thunderbird ESR 10.x до версии 10.0.8
  • SeaMonkey до версии 2.13

Тип уязвимости

Межсайтовый скриптинг (XSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 10.0.8 (исключая)
Конфигурация 2
cpe:2.3:a:mozilla:thunderbird_esr:*:*:*:*:*:*:*:*
Версия до 10.0.8 (исключая)
Конфигурация 3
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 16.0 (исключая)
Конфигурация 4
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 16.0 (исключая)
Конфигурация 5
cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*
Версия до 2.13 (исключая)
Конфигурация 6

Одно из

cpe:2.3:o:suse:linux_enterprise_desktop:10:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_desktop:11:sp2:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_sdk:10:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:vmware:*:*
Конфигурация 7

Одно из

cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:6.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*

EPSS

Процентиль: 75%
0.00927
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2012-3994

ubuntu
почти 13 лет назад

Mozilla Firefox before 16.0, Firefox ESR 10.x before 10.0.8, Thunderbird before 16.0, Thunderbird ESR 10.x before 10.0.8, and SeaMonkey before 2.13 allow remote attackers to conduct cross-site scripting (XSS) attacks via a binary plugin that uses Object.defineProperty to shadow the top object, and leverages the relationship between top.location and the location property.

redhat логотип

CVE-2012-3994

redhat
почти 13 лет назад

Mozilla Firefox before 16.0, Firefox ESR 10.x before 10.0.8, Thunderbird before 16.0, Thunderbird ESR 10.x before 10.0.8, and SeaMonkey before 2.13 allow remote attackers to conduct cross-site scripting (XSS) attacks via a binary plugin that uses Object.defineProperty to shadow the top object, and leverages the relationship between top.location and the location property.

debian логотип

CVE-2012-3994

debian
почти 13 лет назад

Mozilla Firefox before 16.0, Firefox ESR 10.x before 10.0.8, Thunderbi ...

github логотип

GHSA-vrqh-q75j-j6x8

github
больше 3 лет назад

Mozilla Firefox before 16.0, Firefox ESR 10.x before 10.0.8, Thunderbird before 16.0, Thunderbird ESR 10.x before 10.0.8, and SeaMonkey before 2.13 allow remote attackers to conduct cross-site scripting (XSS) attacks via a binary plugin that uses Object.defineProperty to shadow the top object, and leverages the relationship between top.location and the location property.

oracle-oval логотип

ELSA-2012-1351

oracle-oval
почти 13 лет назад

ELSA-2012-1351: thunderbird security update (CRITICAL)

EPSS

Процентиль: 75%
0.00927
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-79