Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2013-1687

Опубликовано: 26 июн. 2013
Источник: nvd
CVSS2: 9.3
EPSS Низкий

Уязвимость выполнения произвольного JavaScript-кода с правами Chrome или атаки XSS в Mozilla Firefox и Thunderbird из-за недостаточных ограничений XBL-функций

Описание

В реализациях System Only Wrapper (SOW) и Chrome Object Wrapper (COW) в Mozilla Firefox и Thunderbird некорректно ограничиваются пользовательские XBL-функции. Это позволяет злоумышленникам выполнять произвольный JavaScript-код с привилегиями Chrome или проводить атаки межсайтового скриптинга (XSS) через специально созданный веб-сайт.

Затронутые версии ПО

  • Mozilla Firefox до версии 22.0
  • Firefox ESR 17.x до версии 17.0.7
  • Thunderbird до версии 17.0.7
  • Thunderbird ESR 17.x до версии 17.0.7

Тип уязвимости

  • Выполнение произвольного кода
  • Межсайтовый скриптинг (XSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 21.0 (включая)
cpe:2.3:a:mozilla:firefox:19.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:19.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:19.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:20.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:20.0.1:*:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:a:mozilla:firefox:17.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.6:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 17.0.6 (включая)
cpe:2.3:a:mozilla:thunderbird:17.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.5:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:mozilla:thunderbird_esr:17.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.6:*:*:*:*:*:*:*

EPSS

Процентиль: 83%
0.01908
Низкий

9.3 Critical

CVSS2

Дефекты

CWE-264

Связанные уязвимости

ubuntu логотип

CVE-2013-1687

ubuntu
около 12 лет назад

The System Only Wrapper (SOW) and Chrome Object Wrapper (COW) implementations in Mozilla Firefox before 22.0, Firefox ESR 17.x before 17.0.7, Thunderbird before 17.0.7, and Thunderbird ESR 17.x before 17.0.7 do not properly restrict XBL user-defined functions, which allows remote attackers to execute arbitrary JavaScript code with chrome privileges, or conduct cross-site scripting (XSS) attacks, via a crafted web site.

redhat логотип

CVE-2013-1687

redhat
около 12 лет назад

The System Only Wrapper (SOW) and Chrome Object Wrapper (COW) implementations in Mozilla Firefox before 22.0, Firefox ESR 17.x before 17.0.7, Thunderbird before 17.0.7, and Thunderbird ESR 17.x before 17.0.7 do not properly restrict XBL user-defined functions, which allows remote attackers to execute arbitrary JavaScript code with chrome privileges, or conduct cross-site scripting (XSS) attacks, via a crafted web site.

debian логотип

CVE-2013-1687

debian
около 12 лет назад

The System Only Wrapper (SOW) and Chrome Object Wrapper (COW) implemen ...

github логотип

GHSA-r57r-cv7v-6687

github
больше 3 лет назад

The System Only Wrapper (SOW) and Chrome Object Wrapper (COW) implementations in Mozilla Firefox before 22.0, Firefox ESR 17.x before 17.0.7, Thunderbird before 17.0.7, and Thunderbird ESR 17.x before 17.0.7 do not properly restrict XBL user-defined functions, which allows remote attackers to execute arbitrary JavaScript code with chrome privileges, or conduct cross-site scripting (XSS) attacks, via a crafted web site.

oracle-oval логотип

ELSA-2013-0982

oracle-oval
около 12 лет назад

ELSA-2013-0982: thunderbird security update (IMPORTANT)

EPSS

Процентиль: 83%
0.01908
Низкий

9.3 Critical

CVSS2

Дефекты

CWE-264