Vulnerability Name: CVE-2010-3172 (CCN-62968) Assigned: 2010-11-02 Published: 2010-11-02 Updated: 2010-12-16 Summary: CRLF injection vulnerability in Bugzilla before 3.2.9, 3.4.x before 3.4.9, 3.6.x before 3.6.3, and 4.0.x before 4.0rc1, when Server Push is enabled in a web browser, allows remote attackers to inject arbitrary HTTP headers and content, and conduct HTTP response splitting attacks, via a crafted URL. CVSS v3 Severity: 5.3 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N )Exploitability Metrics: Attack Vector (AV): NetworkAttack Complexity (AC): LowPrivileges Required (PR): NoneUser Interaction (UI): NoneScope: Scope (S): UnchangedImpact Metrics: Confidentiality (C): NoneIntegrity (I): LowAvailibility (A): None
CVSS v2 Severity: 2.6 Low (CVSS v2 Vector: AV:N/AC:H/Au:N/C:N/I:P/A:N )2.2 Low (Temporal CVSS v2 Vector: AV:N/AC:H/Au:N/C:N/I:P/A:N/E:H/RL:OF/RC:C )Exploitability Metrics: Access Vector (AV): NetworkAccess Complexity (AC): HighAuthentication (Au): NoneImpact Metrics: Confidentiality (C): NoneIntegrity (I): PartialAvailibility (A): None
4.3 Medium (CCN CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N )3.7 Low (CCN Temporal CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N/E:H/RL:OF/RC:C )Exploitability Metrics: Access Vector (AV): NetworkAccess Complexity (AC): MediumAthentication (Au): NoneImpact Metrics: Confidentiality (C): NoneIntegrity (I): PartialAvailibility (A): None
Vulnerability Type: CWE-94 Vulnerability Consequences: Gain Access References: Source: MITRE Type: CNACVE-2010-3172 Source: FEDORA Type: UNKNOWNFEDORA-2010-17280 Source: FEDORA Type: UNKNOWNFEDORA-2010-17274 Source: FEDORA Type: UNKNOWNFEDORA-2010-17235 Source: CCN Type: SA42071Bugzilla Multiple Vulnerabilities Source: SECUNIA Type: Vendor Advisory42271 Source: CCN Type: SECTRACK ID: 1024683Bugzilla Permits Cross-Site Scripting and HTTP Response Splitting Attacks and Discloses Certain Information to Remote Users Source: CCN Type: Bugzilla Web Site3.2.8, 3.4.8, 3.6.2, and 3.7.3 Security Advisory Source: CONFIRM Type: Vendor Advisoryhttp://www.bugzilla.org/security/3.2.8/ Source: CCN Type: OSVDB ID: 69221Bugzilla Server Push Crafted URL Response Splitting CRLF Injection Source: CCN Type: BID-44618Bugzilla Response Splitting and Security Bypass Vulnerabilities Source: SECTRACK Type: UNKNOWN1024683 Source: VUPEN Type: Vendor AdvisoryADV-2010-2878 Source: VUPEN Type: Vendor AdvisoryADV-2010-2975 Source: CONFIRM Type: UNKNOWNhttps://bugzilla.mozilla.org/show_bug.cgi?id=600464 Source: XF Type: UNKNOWNbugzilla-unspec-response-splitting(62968) Vulnerable Configuration: Configuration 1 :cpe:/a:mozilla:bugzilla:2.0:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.4:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.6:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.8:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.9:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.10:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.12:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.14:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.14.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.14.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.14.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.14.4:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.14.5:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16:rc1:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16:rc2:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16.4:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16.5:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16.6:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16.7:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16.8:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16.9:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16.10:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16.11:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.16_rc2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.17:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.17.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.17.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.17.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.17.4:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.17.5:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.17.6:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.17.7:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18:rc1:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18:rc2:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18:rc3:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18.4:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18.5:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18.6:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18.6+:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18.7:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18.8:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.18.9:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.19:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.19.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.19.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.19.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.20:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.20:rc1:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.20:rc2:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.20.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.20.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.20.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.20.4:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.20.5:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.20.6:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.20.7:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.21:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.21.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.21.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.22:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.22:rc1:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.22.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.22.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.22.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.22.4:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.22.5:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.22.6:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.22.7:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.23:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.23.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.23.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.23.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:2.23.4:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2:rc1:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2:rc2:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2.4:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2.5:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2.6:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2.7:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:*:*:*:*:*:*:*:* (Version <= 3.2.8) OR cpe:/a:mozilla:bugzilla:3.4.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.4.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.4.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.4.4:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.4.5:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.4.6:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.4.7:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.4.8:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.6.0:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.6.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.6.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:4.0:*:*:*:*:*:*:* Configuration CCN 1 :cpe:/a:mozilla:bugzilla:3.2.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2:rc1:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.2.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.4:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.4.1:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.4.3:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.4.2:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.6:*:*:*:*:*:*:* OR cpe:/a:mozilla:bugzilla:3.6.1:*:*:*:*:*:*:* AND cpe:/o:mandrakesoft:mandrake_linux_corporate_server:4.0:*:*:*:*:*:*:* OR cpe:/o:mandrakesoft:mandrake_linux_corporate_server:4.0::x86_64:*:*:*:*:* OR cpe:/o:mandriva:enterprise_server:5:*:*:*:*:*:*:* OR cpe:/o:mandriva:enterprise_server:5:*:*:*:x86_64:*:*:* Denotes that component is vulnerable Oval Definitions BACK
mozilla bugzilla 2.0
mozilla bugzilla 2.2
mozilla bugzilla 2.4
mozilla bugzilla 2.6
mozilla bugzilla 2.8
mozilla bugzilla 2.9
mozilla bugzilla 2.10
mozilla bugzilla 2.12
mozilla bugzilla 2.14
mozilla bugzilla 2.14.1
mozilla bugzilla 2.14.2
mozilla bugzilla 2.14.3
mozilla bugzilla 2.14.4
mozilla bugzilla 2.14.5
mozilla bugzilla 2.16
mozilla bugzilla 2.16 rc1
mozilla bugzilla 2.16 rc2
mozilla bugzilla 2.16.1
mozilla bugzilla 2.16.2
mozilla bugzilla 2.16.3
mozilla bugzilla 2.16.4
mozilla bugzilla 2.16.5
mozilla bugzilla 2.16.6
mozilla bugzilla 2.16.7
mozilla bugzilla 2.16.8
mozilla bugzilla 2.16.9
mozilla bugzilla 2.16.10
mozilla bugzilla 2.16.11
mozilla bugzilla 2.16_rc2
mozilla bugzilla 2.17
mozilla bugzilla 2.17.1
mozilla bugzilla 2.17.2
mozilla bugzilla 2.17.3
mozilla bugzilla 2.17.4
mozilla bugzilla 2.17.5
mozilla bugzilla 2.17.6
mozilla bugzilla 2.17.7
mozilla bugzilla 2.18
mozilla bugzilla 2.18 rc1
mozilla bugzilla 2.18 rc2
mozilla bugzilla 2.18 rc3
mozilla bugzilla 2.18.1
mozilla bugzilla 2.18.2
mozilla bugzilla 2.18.3
mozilla bugzilla 2.18.4
mozilla bugzilla 2.18.5
mozilla bugzilla 2.18.6
mozilla bugzilla 2.18.6+
mozilla bugzilla 2.18.7
mozilla bugzilla 2.18.8
mozilla bugzilla 2.18.9
mozilla bugzilla 2.19
mozilla bugzilla 2.19.1
mozilla bugzilla 2.19.2
mozilla bugzilla 2.19.3
mozilla bugzilla 2.20
mozilla bugzilla 2.20 rc1
mozilla bugzilla 2.20 rc2
mozilla bugzilla 2.20.1
mozilla bugzilla 2.20.2
mozilla bugzilla 2.20.3
mozilla bugzilla 2.20.4
mozilla bugzilla 2.20.5
mozilla bugzilla 2.20.6
mozilla bugzilla 2.20.7
mozilla bugzilla 2.21
mozilla bugzilla 2.21.1
mozilla bugzilla 2.21.2
mozilla bugzilla 2.22
mozilla bugzilla 2.22 rc1
mozilla bugzilla 2.22.1
mozilla bugzilla 2.22.2
mozilla bugzilla 2.22.3
mozilla bugzilla 2.22.4
mozilla bugzilla 2.22.5
mozilla bugzilla 2.22.6
mozilla bugzilla 2.22.7
mozilla bugzilla 2.23
mozilla bugzilla 2.23.1
mozilla bugzilla 2.23.2
mozilla bugzilla 2.23.3
mozilla bugzilla 2.23.4
mozilla bugzilla 3.2
mozilla bugzilla 3.2 rc1
mozilla bugzilla 3.2 rc2
mozilla bugzilla 3.2.1
mozilla bugzilla 3.2.2
mozilla bugzilla 3.2.3
mozilla bugzilla 3.2.4
mozilla bugzilla 3.2.5
mozilla bugzilla 3.2.6
mozilla bugzilla 3.2.7
mozilla bugzilla *
mozilla bugzilla 3.4.1
mozilla bugzilla 3.4.2
mozilla bugzilla 3.4.3
mozilla bugzilla 3.4.4
mozilla bugzilla 3.4.5
mozilla bugzilla 3.4.6
mozilla bugzilla 3.4.7
mozilla bugzilla 3.4.8
mozilla bugzilla 3.6.0
mozilla bugzilla 3.6.1
mozilla bugzilla 3.6.2
mozilla bugzilla 4.0
mozilla bugzilla 3.2.1
mozilla bugzilla 3.2.2
mozilla bugzilla 3.2 rc1
mozilla bugzilla 3.3
mozilla bugzilla 3.2.3
mozilla bugzilla 3.4
mozilla bugzilla 3.4.1
mozilla bugzilla 3.4.3
mozilla bugzilla 3.4.2
mozilla bugzilla 3.6
mozilla bugzilla 3.6.1
mandrakesoft mandrake linux corporate server 4.0
mandrakesoft mandrake linux corporate server 4.0
mandriva enterprise server 5
mandriva enterprise server 5