Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2016-9902

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Уязвимость внедрения контента и команд через кнопку панели инструментов Pocket в Mozilla Firefox

Описание

Кнопка на панели инструментов Pocket после активации отслеживает события, генерируемые её собственными страницами, но не верифицирует источник входящих событий. Это позволяет содержимому из других источников генерировать события и внедрять контент и команды в контекст Pocket. Обратите внимание, что данная проблема не затрагивает пользователей с включенной функцией e10s.

Затронутые версии ПО

  • Firefox ESR версии до 45.6
  • Firefox версии до 50.1

Тип уязвимости

Внедрение контента и команд

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 50.1 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 45.6.0 (исключая)

EPSS

Процентиль: 61%
0.00411
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-346

Связанные уязвимости

ubuntu логотип

CVE-2016-9902

CVSS3: 7.5
ubuntu
около 7 лет назад

The Pocket toolbar button, once activated, listens for events fired from it's own pages but does not verify the origin of incoming events. This allows content from other origins to fire events and inject content and commands into the Pocket context. Note: this issue does not affect users with e10s enabled. This vulnerability affects Firefox ESR < 45.6 and Firefox < 50.1.

redhat логотип

CVE-2016-9902

CVSS3: 7.5
redhat
больше 8 лет назад

The Pocket toolbar button, once activated, listens for events fired from it's own pages but does not verify the origin of incoming events. This allows content from other origins to fire events and inject content and commands into the Pocket context. Note: this issue does not affect users with e10s enabled. This vulnerability affects Firefox ESR < 45.6 and Firefox < 50.1.

debian логотип

CVE-2016-9902

CVSS3: 7.5
debian
около 7 лет назад

The Pocket toolbar button, once activated, listens for events fired fr ...

github логотип

GHSA-jhx9-2v44-3f39

CVSS3: 7.5
github
больше 3 лет назад

The Pocket toolbar button, once activated, listens for events fired from it's own pages but does not verify the origin of incoming events. This allows content from other origins to fire events and inject content and commands into the Pocket context. Note: this issue does not affect users with e10s enabled. This vulnerability affects Firefox ESR < 45.6 and Firefox < 50.1.

oracle-oval логотип

ELSA-2016-2973

oracle-oval
больше 8 лет назад

ELSA-2016-2973: thunderbird security update (IMPORTANT)

EPSS

Процентиль: 61%
0.00411
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-346