CVE-2012-5841

Опубликовано: 21 нояб. 2012

Источник: nvd

CVSS2: 4.3

EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Mozilla Firefox, Thunderbird и SeaMonkey через некорректное ограничение действий записи в обёртках разных источников

Описание

в Mozilla Firefox, Thunderbird и SeaMonkey присутствует уязвимость в реализации обёрток для разных источников. Некачественная фильтрация действий записи позволяет злоумышленникам проводить межсайтовые сценарии (XSS) атак посредством специально созданного веб-сайта.

Затронутые версии ПО

Mozilla Firefox до версии 17.0
Firefox ESR 10.x до версии 10.0.11
Thunderbird до версии 17.0
Thunderbird ESR 10.x до версии 10.0.11
SeaMonkey до версии 2.14

Тип уязвимости

Межсайтовый скриптинг (XSS)

Ссылки

http://lists.opensuse.org/opensuse-security-announce/2012-11/msg00021.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2013-01/msg00022.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2012-11/msg00090.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2012-11/msg00092.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2012-11/msg00093.html
Mailing List
Third Party Advisory
http://osvdb.org/87588
Broken Link
http://rhn.redhat.com/errata/RHSA-2012-1482.html
Third Party Advisory
http://rhn.redhat.com/errata/RHSA-2012-1483.html
Third Party Advisory
http://secunia.com/advisories/51359
Third Party Advisory
http://secunia.com/advisories/51360
Third Party Advisory
http://secunia.com/advisories/51369
Third Party Advisory
http://secunia.com/advisories/51370
Third Party Advisory
http://secunia.com/advisories/51381
Third Party Advisory
http://secunia.com/advisories/51434
Third Party Advisory
http://secunia.com/advisories/51439
Third Party Advisory
http://secunia.com/advisories/51440
Third Party Advisory
http://www.mandriva.com/security/advisories?name=MDVSA-2012:173
Third Party Advisory
http://www.mozilla.org/security/announce/2012/mfsa2012-100.html
Vendor Advisory
http://www.securityfocus.com/bid/56631
Third Party Advisory
VDB Entry
http://www.ubuntu.com/usn/USN-1636-1
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 10.0.11 (исключая)

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 17.0 (исключая)

cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*

Версия до 2.14 (исключая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 17.0 (исключая)

cpe:2.3:a:mozilla:thunderbird_esr:*:*:*:*:*:*:*:*

Версия до 10.0.11 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:12.1:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:12.2:*:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_desktop:10:sp4:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_desktop:11:sp2:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:-:*:*

cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:vmware:*:*

cpe:2.3:o:suse:linux_enterprise_software_development_kit:10:sp4:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_software_development_kit:11:sp2:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:*

Конфигурация 4

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_eus:6.3:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*

EPSS

Процентиль: 81%

0.01544

Низкий

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

CVE-2012-5841

ubuntu

больше 12 лет назад

Mozilla Firefox before 17.0, Firefox ESR 10.x before 10.0.11, Thunderbird before 17.0, Thunderbird ESR 10.x before 10.0.11, and SeaMonkey before 2.14 implement cross-origin wrappers with a filtering behavior that does not properly restrict write actions, which allows remote attackers to conduct cross-site scripting (XSS) attacks via a crafted web site.