Vulnerabilidad en función console.log en la extensión Firebug para Mozilla Firefox (CVE-2007-1878)
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/04/2007
Última modificación:
16/10/2018
Descripción
Una vulnerabilidad de tipo Cross-zone scripting en las plantillas DOM (domplates) utilizadas por la función console.log en la extensión Firebug anterior a la versión 1.03 para Mozilla Firefox permite a los atacantes remotos omitir las restricciones de zona, leer URI arbitrarios file:// o ejecutar código arbitrario en el navegador chrome, como es demostrado por medio de la función runFile, relacionado con la falta de escape HTML en el nombre property.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:parakey_inc.:firebug:1.01:*:*:*:*:*:*:* | ||
cpe:2.3:a:parakey_inc.:firebug:1.02:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://larholm.com/2007/04/06/0day-vulnerability-in-firebug/
- http://secunia.com/advisories/24743
- http://securityreason.com/securityalert/2525
- http://www.getfirebug.com/blog/2007/04/04/security-update/
- http://www.gnucitizen.org/blog/firebug-goes-evil
- http://www.securityfocus.com/archive/1/464740/100/0/threaded
- http://www.securityfocus.com/archive/1/464786/100/0/threaded
- http://www.securityfocus.com/bid/23315
- http://www.vupen.com/english/advisories/2007/1272
- https://exchange.xforce.ibmcloud.com/vulnerabilities/33451