Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2013-1670

Опубликовано: 16 мая 2013
Источник: nvd
CVSS2: 4.3
EPSS Средний

Уязвимость обхода ограничений доступа и выполнения XSS атак через Chrome Object Wrapper в Mozilla Firefox и Thunderbird

Описание

Реализация Chrome Object Wrapper (COW) в Mozilla Firefox и Thunderbird не предотвращает получение привилегий уровня Chrome при вызовах конструкторов на уровне контента. Это позволяет злоумышленнику обходить некоторые ограничения на доступ только для чтения и проводить межсайтовые скриптинговые (XSS) атаки с помощью специально разработанного веб-сайта.

Затронутые версии ПО

  • Mozilla Firefox до версии 21.0
  • Mozilla Firefox ESR 17.x до версии 17.0.6
  • Thunderbird до версии 17.0.6
  • Thunderbird ESR 17.x до версии 17.0.6

Тип уязвимости

  • Обход ограничений доступа
  • Межсайтовый скриптинг (XSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 20.0.1 (включая)
cpe:2.3:a:mozilla:firefox:19.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:19.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:19.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:20.0:*:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:a:mozilla:firefox:17.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.5:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 17.0.5 (включая)
cpe:2.3:a:mozilla:thunderbird:17.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.4:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:mozilla:thunderbird_esr:17.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.5:*:*:*:*:*:*:*

EPSS

Процентиль: 98%
0.45979
Средний

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2013-1670

ubuntu
больше 12 лет назад

The Chrome Object Wrapper (COW) implementation in Mozilla Firefox before 21.0, Firefox ESR 17.x before 17.0.6, Thunderbird before 17.0.6, and Thunderbird ESR 17.x before 17.0.6 does not prevent acquisition of chrome privileges during calls to content level constructors, which allows remote attackers to bypass certain read-only restrictions and conduct cross-site scripting (XSS) attacks via a crafted web site.

redhat логотип

CVE-2013-1670

redhat
больше 12 лет назад

The Chrome Object Wrapper (COW) implementation in Mozilla Firefox before 21.0, Firefox ESR 17.x before 17.0.6, Thunderbird before 17.0.6, and Thunderbird ESR 17.x before 17.0.6 does not prevent acquisition of chrome privileges during calls to content level constructors, which allows remote attackers to bypass certain read-only restrictions and conduct cross-site scripting (XSS) attacks via a crafted web site.

debian логотип

CVE-2013-1670

debian
больше 12 лет назад

The Chrome Object Wrapper (COW) implementation in Mozilla Firefox befo ...

github логотип

GHSA-wmq6-5fp5-6pfg

github
больше 3 лет назад

The Chrome Object Wrapper (COW) implementation in Mozilla Firefox before 21.0, Firefox ESR 17.x before 17.0.6, Thunderbird before 17.0.6, and Thunderbird ESR 17.x before 17.0.6 does not prevent acquisition of chrome privileges during calls to content level constructors, which allows remote attackers to bypass certain read-only restrictions and conduct cross-site scripting (XSS) attacks via a crafted web site.

oracle-oval логотип

ELSA-2013-0821

oracle-oval
больше 12 лет назад

ELSA-2013-0821: thunderbird security update (IMPORTANT)

EPSS

Процентиль: 98%
0.45979
Средний

4.3 Medium

CVSS2

Дефекты

CWE-79