CVE-2012-4209

Опубликовано: 21 нояб. 2012

Источник: nvd

CVSS2: 4.3

EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Mozilla Firefox, Thunderbird и SeaMonkey через некорректную обработку свойства location с использованием двоичного плагина

Описание

в Mozilla Firefox, Thunderbird и SeaMonkey обнаружена уязвимость, связанная с некорректной обработкой значения атрибута name фрейма top для доступа к свойству location. Это упрощает злоумышленникам проведение атак межсайтового скриптинга (XSS) с использованием двоичных плагинов.

Затронутые версии ПО

Mozilla Firefox версии до 17.0
Mozilla Firefox ESR 10.x версии до 10.0.11
Mozilla Thunderbird версии до 17.0
Mozilla Thunderbird ESR 10.x версии до 10.0.11
SeaMonkey версии до 2.14

Тип уязвимости

Межсайтовый скриптинг (XSS)

Ссылки

http://lists.opensuse.org/opensuse-security-announce/2012-11/msg00021.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2013-01/msg00022.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2012-11/msg00090.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2012-11/msg00092.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2012-11/msg00093.html
Mailing List
Third Party Advisory
http://rhn.redhat.com/errata/RHSA-2012-1482.html
Third Party Advisory
http://rhn.redhat.com/errata/RHSA-2012-1483.html
Third Party Advisory
http://secunia.com/advisories/51359
Third Party Advisory
http://secunia.com/advisories/51360
Third Party Advisory
http://secunia.com/advisories/51369
Third Party Advisory
http://secunia.com/advisories/51370
Third Party Advisory
http://secunia.com/advisories/51381
Third Party Advisory
http://secunia.com/advisories/51434
Third Party Advisory
http://secunia.com/advisories/51439
Third Party Advisory
http://secunia.com/advisories/51440
Third Party Advisory
http://www.mandriva.com/security/advisories?name=MDVSA-2012:173
Third Party Advisory
http://www.mozilla.org/security/announce/2012/mfsa2012-103.html
Vendor Advisory
http://www.securityfocus.com/bid/56629
Third Party Advisory
VDB Entry
http://www.ubuntu.com/usn/USN-1636-1
Third Party Advisory
http://www.ubuntu.com/usn/USN-1638-1
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 17.0 (исключая)

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия от 10.0 (включая) до 10.0.11 (исключая)

cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*

Версия до 2.14 (исключая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 17.0 (исключая)

cpe:2.3:a:mozilla:thunderbird_esr:*:*:*:*:*:*:*:*

Версия от 10.0 (включая) до 10.0.11 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:12.1:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:12.2:*:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_desktop:10:sp4:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_desktop:11:sp2:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:vmware:*:*

cpe:2.3:o:suse:linux_enterprise_software_development_kit:10:sp4:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_software_development_kit:11:sp2:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_eus:6.3:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*

Конфигурация 4

Одно из

cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:*

EPSS

Процентиль: 83%

0.02065

Низкий

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

CVE-2012-4209

ubuntu

почти 13 лет назад

Mozilla Firefox before 17.0, Firefox ESR 10.x before 10.0.11, Thunderbird before 17.0, Thunderbird ESR 10.x before 10.0.11, and SeaMonkey before 2.14 do not prevent use of a "top" frame name-attribute value to access the location property, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via vectors involving a binary plugin.