Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2014-1487

Опубликовано: 06 фев. 2014
Источник: nvd
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Уязвимость в реализации Web workers в Mozilla Firefox, Thunderbird и SeaMonkey, позволяющая обойти политику одного происхождения и получить конфиденциальную информацию аутентификации

Описание

Уязвимость в реализации Web workers в Mozilla Firefox, Firefox ESR, Thunderbird и SeaMonkey позволяет удалённым злоумышленникам обходить политику одного происхождения и получать конфиденциальную информацию аутентификации. Это осуществляется через определенные векторы, связанные с обработкой сообщений об ошибках.

Затронутые версии ПО

  • Mozilla Firefox до версии 27.0
  • Mozilla Firefox ESR 24.x до версии 24.3
  • Mozilla Thunderbird до версии 24.3
  • Mozilla SeaMonkey до версии 2.24

Тип уязвимости

  • Обход политики безопасности (политика одного происхождения)
  • Компрометация конфиденциальной информации

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 27.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия от 24.0 (включая) до 24.3 (исключая)
cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*
Версия до 2.24 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 24.3 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:19:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:20:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:suse:suse_linux_enterprise_software_development_kit:11.0:sp3:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:12.3:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:*
cpe:2.3:o:suse:suse_linux_enterprise_desktop:11:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:suse_linux_enterprise_server:11:sp3:*:*:*:-:*:*
cpe:2.3:o:suse:suse_linux_enterprise_server:11:sp3:*:*:*:vmware:*:*
Конфигурация 4

Одно из

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:13.10:*:*:*:*:*:*:*
Конфигурация 5
cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*
Конфигурация 6

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:6.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:6.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_tus:6.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*

EPSS

Процентиль: 65%
0.00501
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-346

Связанные уязвимости

ubuntu логотип

CVE-2014-1487

CVSS3: 7.5
ubuntu
больше 11 лет назад

The Web workers implementation in Mozilla Firefox before 27.0, Firefox ESR 24.x before 24.3, Thunderbird before 24.3, and SeaMonkey before 2.24 allows remote attackers to bypass the Same Origin Policy and obtain sensitive authentication information via vectors involving error messages.

redhat логотип

CVE-2014-1487

redhat
больше 11 лет назад

The Web workers implementation in Mozilla Firefox before 27.0, Firefox ESR 24.x before 24.3, Thunderbird before 24.3, and SeaMonkey before 2.24 allows remote attackers to bypass the Same Origin Policy and obtain sensitive authentication information via vectors involving error messages.

debian логотип

CVE-2014-1487

CVSS3: 7.5
debian
больше 11 лет назад

The Web workers implementation in Mozilla Firefox before 27.0, Firefox ...

github логотип

GHSA-56gp-p8f3-47px

CVSS3: 7.5
github
около 3 лет назад

The Web workers implementation in Mozilla Firefox before 27.0, Firefox ESR 24.x before 24.3, Thunderbird before 24.3, and SeaMonkey before 2.24 allows remote attackers to bypass the Same Origin Policy and obtain sensitive authentication information via vectors involving error messages.

fstec логотип

BDU:2014-00237

fstec
больше 11 лет назад

Уязвимость пакета программ Mozilla SeaMonkey, позволяющая злоумышленнику получить доступ к аутентификационным данным

EPSS

Процентиль: 65%
0.00501
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-346