Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2014-1529

Опубликовано: 30 апр. 2014
Источник: nvd
CVSS3: 8.8
CVSS2: 9.3
EPSS Низкий

Уязвимость обхода ограничений исходного компонента в Web Notification API, позволяющая выполнение произвольного JavaScript-кода в Mozilla Firefox, Thunderbird и SeaMonkey

Описание

Web Notification API в Mozilla Firefox и других продуктах позволяет злоумышленникам обойти ограничения исходного компонента и выполнить произвольный JavaScript-код с повышенным уровнем доступа. Это возможно с помощью специально созданной веб-страницы, для которой предоставлено разрешение на уведомление Notification.permission.

Затронутые версии ПО

  • Mozilla Firefox до версии 29.0
  • Firefox ESR 24.x до версии 24.5
  • Thunderbird до версии 24.5
  • SeaMonkey до версии 2.26

Тип уязвимости

Выполнение произвольного кода

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 29.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия от 24.0 (включая) до 24.5 (исключая)
cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*
Версия до 2.26 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 24.5 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:13.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:esm:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:6.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:6.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_tus:6.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*
Конфигурация 5

Одно из

cpe:2.3:o:fedoraproject:fedora:19:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:20:*:*:*:*:*:*:*
Конфигурация 6

Одно из

cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:12.3:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:*
cpe:2.3:o:suse:suse_linux_enterprise_server:10:sp4:*:*:ltss:*:*:*
cpe:2.3:o:suse:suse_linux_enterprise_server:11:sp1:*:*:ltss:*:*:*

EPSS

Процентиль: 75%
0.00906
Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-269

Связанные уязвимости

ubuntu логотип

CVE-2014-1529

CVSS3: 8.8
ubuntu
больше 11 лет назад

The Web Notification API in Mozilla Firefox before 29.0, Firefox ESR 24.x before 24.5, Thunderbird before 24.5, and SeaMonkey before 2.26 allows remote attackers to bypass intended source-component restrictions and execute arbitrary JavaScript code in a privileged context via a crafted web page for which Notification.permission is granted.

redhat логотип

CVE-2014-1529

redhat
больше 11 лет назад

The Web Notification API in Mozilla Firefox before 29.0, Firefox ESR 24.x before 24.5, Thunderbird before 24.5, and SeaMonkey before 2.26 allows remote attackers to bypass intended source-component restrictions and execute arbitrary JavaScript code in a privileged context via a crafted web page for which Notification.permission is granted.

debian логотип

CVE-2014-1529

CVSS3: 8.8
debian
больше 11 лет назад

The Web Notification API in Mozilla Firefox before 29.0, Firefox ESR 2 ...

github логотип

GHSA-vcpc-r52j-cpgq

CVSS3: 8.8
github
около 3 лет назад

The Web Notification API in Mozilla Firefox before 29.0, Firefox ESR 24.x before 24.5, Thunderbird before 24.5, and SeaMonkey before 2.26 allows remote attackers to bypass intended source-component restrictions and execute arbitrary JavaScript code in a privileged context via a crafted web page for which Notification.permission is granted.

fstec логотип

BDU:2015-00068

fstec
больше 11 лет назад

Уязвимость программного пакета SeaMonkey, позволяющая удаленному злоумышленнику выполнить произвольный код

EPSS

Процентиль: 75%
0.00906
Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-269