The confirm_create_account function in the account-creation feature in token.cgi in Bugzilla 2.x through 4.0.x before 4.0.15, 4.1.x and 4.2.x before 4.2.11, 4.3.x and 4.4.x before 4.4.6, and 4.5.x before 4.5.6 does not specify a scalar context for the realname parameter, which allows remote attackers to create accounts with unverified e-mail addresses by sending three realname values with realname=login_name as the second, as demonstrated by selecting an e-mail address with a domain name for which group privileges are automatically granted.

No CVSS v3.1

No CVSS v3.0

Access Vector Network

Access Complexity Low

Authentication None

Confidentiality Impact None

Integrity Impact Partial

Availability Impact None

AV:N/AC:L/Au:N/C:N/I:P/A:N
Vendors Products
Mozilla
  • Bugzilla
Fedoraproject
  • Fedora

Configuration 1 [-]

OR cpe:2.3:o:fedoraproject:fedora:19:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:20:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:21:*:*:*:*:*:*:*

Configuration 2 [-]

OR cpe:2.3:a:mozilla:bugzilla:2.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.8:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.9:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.10:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.12:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.14:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.14.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.14.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.14.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.14.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.14.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16:rc1:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16:rc2:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16.8:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16.9:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16.10:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16.11:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.16_rc2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.17:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.17.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.17.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.17.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.17.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.17.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.17.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.17.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18:rc1:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18:rc2:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18:rc3:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18.6\+:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18.8:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.18.9:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.19:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.19.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.19.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.19.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.20:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.20:rc1:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.20:rc2:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.20.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.20.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.20.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.20.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.20.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.20.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.20.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.21:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.21.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.21.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.21.2:rc1:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.22:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.22:rc1:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.22.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.22.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.22.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.22.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.22.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.22.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.22.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.23:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.23.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.23.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.23.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:2.23.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0:rc1:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0.8:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0.9:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0.10:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0.11:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.0_rc1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.1.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.1.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.1.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.1.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.1.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2:rc1:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2:rc2:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2.8:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2.9:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.2.10:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.3.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.3.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.3.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.3.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4:rc1:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.8:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.9:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.10:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.11:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.12:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.4.13:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.5.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.5.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.5.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6:rc1:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.8:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.9:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.10:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.11:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.12:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.6.13:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.7.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.7.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:3.7.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.0:rc1:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.0:rc2:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.0.10:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.0.11:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.0.12:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.0.13:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.0.14:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.1.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.1.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.1.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2:rc1:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2:rc2:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2.6:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2.7:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2.8:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2.9:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.2.10:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.3.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.3.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.3.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.4:rc1:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.4:rc2:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.4.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.4.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.4.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.4.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.4.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.5.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.5.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.5.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.5.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:bugzilla:4.5.5:*:*:*:*:*:*:*
References
Link Resource
http://advisories.mageia.org/MGASA-2014-0412.html
http://blog.gerv.net/2014/10/new-class-of-vulnerability-in-perl-web-applications/
http://lists.fedoraproject.org/pipermail/package-announce/2014-November/142524.html
http://lists.fedoraproject.org/pipermail/package-announce/2014-October/141309.html
http://lists.fedoraproject.org/pipermail/package-announce/2014-October/141321.html
http://openwall.com/lists/oss-security/2014/10/07/20
http://packetstormsecurity.com/files/128578/Bugzilla-Account-Creation-XSS-Information-Leak.html
http://www.bugzilla.org/security/4.0.14/ Vendor Advisory
http://www.mandriva.com/security/advisories?name=MDVSA-2014:200
http://www.opennet.ru/opennews/art.shtml?num=40766
http://www.reddit.com/r/netsec/comments/2ihen0/new_class_of_vulnerability_in_perl_web/
http://www.securitytracker.com/id/1030978
https://bugzilla.mozilla.org/show_bug.cgi?id=1074812 Patch
https://security.gentoo.org/glsa/201607-11
History

No history.

cve-icon MITRE Information

Status: PUBLISHED

Assigner: mozilla

Published: 2014-10-13T01:00:00

Updated: 2016-11-25T20:57:01

Reserved: 2014-01-16T00:00:00

Link: CVE-2014-1572

JSON object: View

cve-icon NVD Information

Status : Modified

Published: 2014-10-13T01:55:06.933

Modified: 2016-11-28T19:10:47.787

Link: CVE-2014-1572

JSON object: View

cve-icon Redhat Information

No data.

CWE