CVE-2007-3656 (CNNVD-200707-148)
MEDIUM
中文标题:
Mozilla Firefox WYCIWYG:// URI绕过缓存区限制漏洞
英文标题:
Mozilla Firefox before 1.8.0.13 and 1.8.1.x before 1.8.1.5 does not perform a security zone check wh...
CVSS分数:
6.8
发布时间:
2007-07-10 19:00:00
漏洞类型:
信息泄露
状态:
PUBLISHED
数据质量分数:
0.30
数据版本:
v3
漏洞描述
中文描述:
Mozilla Firefox是一款非常流行的开源WEB浏览器。 Firefox实现的wyciwyg://伪URI资源类型的访问控制存在漏洞,远程攻击者可能利用此漏洞获取Web浏览器相关的敏感信息。 wyciwyg://伪URI资源类型用于整理和引用本地所缓存的页面,但wyciwyg:// URI的访问控制并不充分,用户可通过XMLHttpRequest或IFRAMEd view-source:访问所缓存的文档。尽管仍正确地实现同域策略,但恶意站点可以绕过cookie设置向用户计算机存储任意标记;如果结合HTTP 302重新定向,攻击者还可以绕过同域策略窃取站点之前所显示的敏感信息、破坏缓存或执行URL栏欺骗。
英文描述:
Mozilla Firefox before 1.8.0.13 and 1.8.1.x before 1.8.1.5 does not perform a security zone check when processing a wyciwyg URI, which allows remote attackers to obtain sensitive information, poison the browser cache, and possibly enable further attack vectors via (1) HTTP 302 redirect controls, (2) XMLHttpRequest, or (3) view-source URIs.
CWE类型:
CWE-200
标签:
(暂无数据)
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| mozilla | firefox | 1.0 | - | - |
cpe:2.3:a:mozilla:firefox:1.0:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.0.1 | - | - |
cpe:2.3:a:mozilla:firefox:1.0.1:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.0.2 | - | - |
cpe:2.3:a:mozilla:firefox:1.0.2:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.0.3 | - | - |
cpe:2.3:a:mozilla:firefox:1.0.3:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.0.4 | - | - |
cpe:2.3:a:mozilla:firefox:1.0.4:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.0.5 | - | - |
cpe:2.3:a:mozilla:firefox:1.0.5:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.0.6 | - | - |
cpe:2.3:a:mozilla:firefox:1.0.6:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.0.7 | - | - |
cpe:2.3:a:mozilla:firefox:1.0.7:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.0.8 | - | - |
cpe:2.3:a:mozilla:firefox:1.0.8:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5 | - | - |
cpe:2.3:a:mozilla:firefox:1.5:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.0.1 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.0.1:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.0.2 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.0.2:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.0.3 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.0.3:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.0.4 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.0.4:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.0.5 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.0.5:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.0.6 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.0.6:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.0.7 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.0.7:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.0.8 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.0.8:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.0.9 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.0.9:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.0.10 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.0.10:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.0.11 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.0.11:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.0.12 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.0.12:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.1 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.1:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.2 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.2:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.3 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.3:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.4 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.4:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.5 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.5:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.6 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.6:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.7 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.7:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.5.8 | - | - |
cpe:2.3:a:mozilla:firefox:1.5.8:*:*:*:*:*:*:*
|
| mozilla | firefox | 1.8 | - | - |
cpe:2.3:a:mozilla:firefox:1.8:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
USN-490-1
vendor-advisory
cve.org
访问
cve.org
26107
third-party-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_MISC
cve.org
访问
cve.org
38028
vdb-entry
cve.org
访问
cve.org
26179
third-party-advisory
cve.org
访问
cve.org
ADV-2007-4256
vdb-entry
cve.org
访问
cve.org
25589
third-party-advisory
cve.org
访问
cve.org
2872
third-party-advisory
cve.org
访问
cve.org
HPSBUX02153
vendor-advisory
cve.org
访问
cve.org
MDKSA-2007:152
vendor-advisory
cve.org
访问
cve.org
GLSA-200708-09
vendor-advisory
cve.org
访问
cve.org
1018411
vdb-entry
cve.org
访问
cve.org
DSA-1339
vendor-advisory
cve.org
访问
cve.org
25990
third-party-advisory
cve.org
访问
cve.org
26151
third-party-advisory
cve.org
访问
cve.org
28135
third-party-advisory
cve.org
访问
cve.org
26216
third-party-advisory
cve.org
访问
cve.org
26103
third-party-advisory
cve.org
访问
cve.org
26072
third-party-advisory
cve.org
访问
cve.org
26149
third-party-advisory
cve.org
访问
cve.org
oval:org.mitre.oval:def:9105
vdb-entry
cve.org
访问
cve.org
103177
vendor-advisory
cve.org
访问
cve.org
DSA-1337
vendor-advisory
cve.org
访问
cve.org
26211
third-party-advisory
cve.org
访问
cve.org
26159
third-party-advisory
cve.org
访问
cve.org
SUSE-SA:2007:049
vendor-advisory
cve.org
访问
cve.org
DSA-1338
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
20070709 Firefox wyciwyg:// cache zone bypass
mailing-list
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
20070724 FLEA-2007-0033-1: firefox thunderbird
mailing-list
cve.org
访问
cve.org
26258
third-party-advisory
cve.org
访问
cve.org
26460
third-party-advisory
cve.org
访问
cve.org
20070701-01-P
vendor-advisory
cve.org
访问
cve.org
RHSA-2007:0724
vendor-advisory
cve.org
访问
cve.org
20070720 rPSA-2007-0148-1 firefox thunderbird
mailing-list
cve.org
访问
cve.org
24831
vdb-entry
cve.org
访问
cve.org
26271
third-party-advisory
cve.org
访问
cve.org
RHSA-2007:0722
vendor-advisory
cve.org
访问
cve.org
201516
vendor-advisory
cve.org
访问
cve.org
mozilla-wyciwyg-security-bypass(35298)
vdb-entry
cve.org
访问
cve.org
26204
third-party-advisory
cve.org
访问
cve.org
26205
third-party-advisory
cve.org
访问
cve.org
CVSS评分详情
6.8
MEDIUM
CVSS向量:
AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS版本:
2.0
机密性
PARTIAL
完整性
PARTIAL
可用性
PARTIAL
时间信息
发布时间:
2007-07-10 19:00:00
修改时间:
2024-08-07 14:28:51
创建时间:
2025-11-11 15:32:45
更新时间:
2025-11-11 15:49:18
利用信息
暂无可利用代码信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2007-3656 |
2025-11-11 15:17:54 | 2025-11-11 07:32:45 |
| NVD | nvd_CVE-2007-3656 |
2025-11-11 14:52:11 | 2025-11-11 07:41:31 |
| CNNVD | cnnvd_CNNVD-200707-148 |
2025-11-11 15:08:57 | 2025-11-11 07:49:18 |
版本与语言
当前版本:
v3
主要语言:
EN
支持语言:
EN
ZH
安全公告
暂无安全公告信息
变更历史
v3
CNNVD
2025-11-11 15:49:18
vulnerability_type: 未提取 → 信息泄露; cnnvd_id: 未提取 → CNNVD-200707-148; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
- vulnerability_type: 未提取 -> 信息泄露
- cnnvd_id: 未提取 -> CNNVD-200707-148
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2
NVD
2025-11-11 15:41:31
cvss_score: 未提取 → 6.8; cvss_vector: NOT_EXTRACTED → AV:N/AC:M/Au:N/C:P/I:P/A:P; cvss_version: NOT_EXTRACTED → 2.0; affected_products_count: 0 → 31; references_count: 46 → 45; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
- cvss_score: 未提取 -> 6.8
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:M/Au:N/C:P/I:P/A:P
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 31
- references_count: 46 -> 45
- data_sources: ['cve'] -> ['cve', 'nvd']