Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2013-0747

Опубликовано: 13 янв. 2013
Источник: nvd
CVSS2: 6.8
EPSS Низкий

Уязвимость обхода политики одного происхождения через функцию gPluginHandler.handleEvent в Mozilla Firefox, Thunderbird и SeaMonkey

Описание

Функция gPluginHandler.handleEvent в обработчике плагинов браузеров Mozilla Firefox, Thunderbird и SeaMonkey некорректно применяет политику одного происхождения. Это позволяет злоумышленникам проводить атаки clickjacking с использованием специально подготовленного JavaScript-кода, который отслеживает события изменения.

Затронутые версии ПО

  • Mozilla Firefox до версии 18.0
  • Firefox ESR 17.x до версии 17.0.2
  • Thunderbird до версии 17.0.2
  • Thunderbird ESR 17.x до версии 17.0.2
  • SeaMonkey до версии 2.15

Тип уязвимости

  • Clickjacking

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 17.0.2 (исключая)
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 18.0 (исключая)
cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*
Версия до 2.15 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 17.0.2 (исключая)
cpe:2.3:a:mozilla:thunderbird_esr:*:*:*:*:*:*:*:*
Версия до 17.0.2 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:12.1:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:12.2:*:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_desktop:10:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_desktop:11:sp2:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:-:*:*
cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:vmware:*:*
cpe:2.3:o:suse:linux_enterprise_software_development_kit:10:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_software_development_kit:11:sp2:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:*

EPSS

Процентиль: 84%
0.02298
Низкий

6.8 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

ubuntu логотип

CVE-2013-0747

ubuntu
около 13 лет назад

The gPluginHandler.handleEvent function in the plugin handler in Mozilla Firefox before 18.0, Firefox ESR 17.x before 17.0.2, Thunderbird before 17.0.2, Thunderbird ESR 17.x before 17.0.2, and SeaMonkey before 2.15 does not properly enforce the Same Origin Policy, which allows remote attackers to conduct clickjacking attacks via crafted JavaScript code that listens for a mutation event.

redhat логотип

CVE-2013-0747

redhat
около 13 лет назад

The gPluginHandler.handleEvent function in the plugin handler in Mozilla Firefox before 18.0, Firefox ESR 17.x before 17.0.2, Thunderbird before 17.0.2, Thunderbird ESR 17.x before 17.0.2, and SeaMonkey before 2.15 does not properly enforce the Same Origin Policy, which allows remote attackers to conduct clickjacking attacks via crafted JavaScript code that listens for a mutation event.

debian логотип

CVE-2013-0747

debian
около 13 лет назад

The gPluginHandler.handleEvent function in the plugin handler in Mozil ...

github логотип

GHSA-6xpg-g38w-3gmx

github
больше 3 лет назад

The gPluginHandler.handleEvent function in the plugin handler in Mozilla Firefox before 18.0, Firefox ESR 17.x before 17.0.2, Thunderbird before 17.0.2, Thunderbird ESR 17.x before 17.0.2, and SeaMonkey before 2.15 does not properly enforce the Same Origin Policy, which allows remote attackers to conduct clickjacking attacks via crafted JavaScript code that listens for a mutation event.

EPSS

Процентиль: 84%
0.02298
Низкий

6.8 Medium

CVSS2

Дефекты

CWE-20