Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2010-1197

Опубликовано: 22 июн. 2010
Источник: redhat
CVSS2: 4
EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Mozilla Firefox и SeaMonkey из-за некорректной обработки HTTP-заголовков с "Content-Disposition: attachment" и "Content-Type: multipart"

Описание

Обнаружена уязвимость в Mozilla Firefox 3.5.x до версии 3.5.10 и 3.6.x до версии 3.6.4, а также в SeaMonkey до версии 2.0.5. Проблема заключается в том, что браузеры некорректно обрабатывают ситуации, когда в HTTP-заголовках одновременно присутствуют Content-Disposition: attachment и Content-Type: multipart. Это позволяет злоумышленникам удалённо проводить атаки межсайтового скриптинга (XSS) через загруженный HTML-документ.

Затронутые версии ПО

  • Mozilla Firefox 3.5.x до версии 3.5.10
  • Mozilla Firefox 3.6.x до версии 3.6.4
  • SeaMonkey до версии 2.0.5

Тип уязвимости

Межсайтовый скриптинг (XSS)

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 6firefoxAffected
Red Hat Enterprise Linux 3seamonkeyFixedRHSA-2010:049922.06.2010
Red Hat Enterprise Linux 4seamonkeyFixedRHSA-2010:049922.06.2010
Red Hat Enterprise Linux 4firefoxFixedRHSA-2010:050022.06.2010
Red Hat Enterprise Linux 4thunderbirdFixedRHSA-2010:054421.07.2010
Red Hat Enterprise Linux 5devhelpFixedRHSA-2010:050122.06.2010
Red Hat Enterprise Linux 5escFixedRHSA-2010:050122.06.2010
Red Hat Enterprise Linux 5firefoxFixedRHSA-2010:050122.06.2010
Red Hat Enterprise Linux 5gnome-python2-extrasFixedRHSA-2010:050122.06.2010
Red Hat Enterprise Linux 5totemFixedRHSA-2010:050122.06.2010

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
https://bugzilla.redhat.com/show_bug.cgi?id=590850Content-Disposition: attachment ignored if Content-Type: multipart also present

EPSS

Процентиль: 76%
0.00998
Низкий

4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2010-1197

ubuntu
почти 15 лет назад

Mozilla Firefox 3.5.x before 3.5.10 and 3.6.x before 3.6.4, and SeaMonkey before 2.0.5, does not properly handle situations in which both "Content-Disposition: attachment" and "Content-Type: multipart" are present in HTTP headers, which allows remote attackers to conduct cross-site scripting (XSS) attacks via an uploaded HTML document.

nvd логотип

CVE-2010-1197

nvd
почти 15 лет назад

Mozilla Firefox 3.5.x before 3.5.10 and 3.6.x before 3.6.4, and SeaMonkey before 2.0.5, does not properly handle situations in which both "Content-Disposition: attachment" and "Content-Type: multipart" are present in HTTP headers, which allows remote attackers to conduct cross-site scripting (XSS) attacks via an uploaded HTML document.

debian логотип

CVE-2010-1197

debian
почти 15 лет назад

Mozilla Firefox 3.5.x before 3.5.10 and 3.6.x before 3.6.4, and SeaMon ...

github логотип

GHSA-3chw-v2q9-5w9w

github
около 3 лет назад

Mozilla Firefox 3.5.x before 3.5.10 and 3.6.x before 3.6.4, and SeaMonkey before 2.0.5, does not properly handle situations in which both "Content-Disposition: attachment" and "Content-Type: multipart" are present in HTTP headers, which allows remote attackers to conduct cross-site scripting (XSS) attacks via an uploaded HTML document.

oracle-oval логотип

ELSA-2010-0501

oracle-oval
почти 15 лет назад

ELSA-2010-0501: firefox security, bug fix, and enhancement update (CRITICAL)

EPSS

Процентиль: 76%
0.00998
Низкий

4 Medium

CVSS2