Vulnerability Details : CVE-2011-0046
Multiple cross-site request forgery (CSRF) vulnerabilities in Bugzilla before 3.2.10, 3.4.x before 3.4.10, 3.6.x before 3.6.4, and 4.0.x before 4.0rc2 allow remote attackers to hijack the authentication of arbitrary users for requests related to (1) adding a saved search in buglist.cgi, (2) voting in votes.cgi, (3) sanity checking in sanitycheck.cgi, (4) creating or editing a chart in chart.cgi, (5) column changing in colchange.cgi, and (6) adding, deleting, or approving a quip in quips.cgi.
Vulnerability category: Cross-site request forgery (CSRF)
Products affected by CVE-2011-0046
- cpe:2.3:a:mozilla:bugzilla:*:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.8:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.4:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.6:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.10:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.12:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.14:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.14.1:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16:rc1:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.14.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.14.3:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.14.4:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.14.5:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16.5:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16.6:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.17.3:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.17.4:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16.3:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16.4:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.17:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.17.1:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16.10:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16.11:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16.9:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.17.7:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16.1:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16.7:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16.8:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.17.5:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.17.6:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.9:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18:rc1:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18:rc2:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.19:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18.1:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.19.1:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.19.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.19.3:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18:rc3:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18.3:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.20:rc1:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.20:rc2:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.21:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.21.1:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18.4:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.20:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.21.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18.5:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.22:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.20.1:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.20.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.23:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.23.1:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.23.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.22:rc1:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.22.1:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.20.3:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.23.3:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.23.4:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.22.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.17.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.20.4:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.20.5:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18.6:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.20.6:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.22.3:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.22.4:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16_rc2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18.9:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18.8:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.2.1:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18.7:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.22.6:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.22.5:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.20.7:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.2:rc2:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.18.6\+:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.2:rc1:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.2.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.4.1:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.2.4:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.2.3:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.4.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.4.3:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.4.4:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.2.5:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.22.7:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.16:rc2:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:2.0:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.2.6:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.4.5:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.4.6:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.6.1:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.4.7:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.2.7:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.4.8:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.6.2:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:4.0:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.6.0:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.2.8:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.4.9:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:3.6.3:*:*:*:*:*:*:*
- cpe:2.3:a:mozilla:bugzilla:4.0:rc1:*:*:*:*:*:*
Exploit prediction scoring system (EPSS) score for CVE-2011-0046
0.37%
Probability of exploitation activity in the next 30 days
EPSS Score History
~ 69 %
Percentile, the proportion of vulnerabilities that are scored at or less
CVSS scores for CVE-2011-0046
Base Score | Base Severity | CVSS Vector | Exploitability Score | Impact Score | Score Source | First Seen |
---|---|---|---|---|---|---|
6.8
|
MEDIUM | AV:N/AC:M/Au:N/C:P/I:P/A:P |
8.6
|
6.4
|
NIST |
CWE ids for CVE-2011-0046
-
The web application does not, or can not, sufficiently verify whether a well-formed, valid, consistent request was intentionally provided by the user who submitted the request.Assigned by: nvd@nist.gov (Primary)
References for CVE-2011-0046
-
http://www.debian.org/security/2011/dsa-2322
Debian -- Security Information -- DSA-2322-1 bugzilla
-
http://www.vupen.com/english/advisories/2011/0271
Webmail | OVH- OVH
-
https://bugzilla.mozilla.org/show_bug.cgi?id=621107
621107 - [SECURITY] Sanity checking lacks CSRF protectionPatch
-
https://bugzilla.mozilla.org/show_bug.cgi?id=621105
621105 - [SECURITY] Voting lacks CSRF protectionPatch
-
https://bugzilla.mozilla.org/show_bug.cgi?id=621090
621090 - (CVE-2011-0046) [SECURITY] Adding saved searches lacks CSRF protectionPatch
-
http://www.securityfocus.com/bid/45982
Bugzilla Multiple Vulnerabilities
-
https://bugzilla.mozilla.org/show_bug.cgi?id=621109
621109 - Column changing lacks CSRF protectionPatch
-
http://www.bugzilla.org/security/3.2.9/
3.2.9, 3.4.9, 3.6.3, and and 4.0rc1 Security Advisory :: Bugzilla :: bugzilla.orgVendor Advisory
-
http://www.vupen.com/english/advisories/2011/0207
Webmail | OVH- OVHVendor Advisory
-
https://exchange.xforce.ibmcloud.com/vulnerabilities/65003
Bugzilla unspecified cross-site request forgery CVE-2011-0046 Vulnerability Report
-
https://bugzilla.mozilla.org/show_bug.cgi?id=621110
621110 - [SECURITY] Quips (adding/approving/deleting) lacks CSRF protectionPatch
-
http://lists.fedoraproject.org/pipermail/package-announce/2011-February/053678.html
[SECURITY] Fedora 13 Update: bugzilla-3.4.10-1.fc13
-
http://lists.fedoraproject.org/pipermail/package-announce/2011-February/053665.html
[SECURITY] Fedora 14 Update: bugzilla-3.6.4-1.fc14
-
https://bugzilla.mozilla.org/show_bug.cgi?id=621108
621108 - [SECURITY] Creating/editing charts lacks CSRF protectionPatch
Jump to