VYPR
← All advisories
Unrated severityNVD Advisory· Published Jan 2, 2012· Updated Apr 29, 2026

CVE-2011-3657

CVE-2011-3657

Description

Multiple cross-site scripting (XSS) vulnerabilities in Bugzilla 2.x and 3.x before 3.4.13, 3.5.x and 3.6.x before 3.6.7, 3.7.x and 4.0.x before 4.0.3, and 4.1.x through 4.1.3, when debug mode is used, allow remote attackers to inject arbitrary web script or HTML via vectors involving a (1) tabular report, (2) graphical report, or (3) new chart.

AI Insight

LLM-synthesized narrative grounded in this CVE's description and references.

Multiple XSS vulnerabilities in Bugzilla debug mode allow remote attackers to inject arbitrary web script via crafted URLs for tabular/graphical reports or new charts.

Vulnerability

A cross-site scripting (XSS) vulnerability exists in Bugzilla's debug mode when viewing tabular and graphical reports, as well as new charts. The debug mode displays raw data as plain text, which is not properly escaped, allowing injection of arbitrary web script or HTML via a crafted URL. Affected versions include Bugzilla 2.x and 3.x before 3.4.13, 3.5.x and 3.6.x before 3.6.7, 3.7.x and 4.0.x before 4.0.3, and 4.1.x through 4.1.3 [1][2].

Exploitation

An attacker must craft a malicious URL that triggers a debug mode view on an affected Bugzilla instance where debug mode is enabled. The attacker does not require authentication but must convince a logged-in user to visit the crafted link. Upon clicking, the injected script executes in the context of the victim's session [1][2].

Impact

Successful exploitation allows an attacker to execute arbitrary JavaScript in the context of the victim's browser within the Bugzilla application. This can lead to session hijacking, theft of sensitive data (e.g., cookies, tokens), or performing actions as the victim user [1][2].

Mitigation

Upgrade to a fixed version: Bugzilla 3.4.13, 3.6.7, 4.0.3, or 4.2rc1 [1]. If upgrading is not possible, disabling debug mode in the configuration can mitigate the vulnerability. No workaround for disabled debug mode is necessary [1].

References
  1. 4.1.3, 4.0.2, 3.6.6, and 3.4.12 Security Advisory
  2. 697699 - (CVE-2011-3657) [SECURITY] XSS when viewing new charts or tabular and graphical reports in debug mode

AI Insight generated on May 24, 2026. Synthesized from this CVE's description and the cited reference URLs; citations are validated against the source bundle.

Affected products

161
  • Mozilla Corporation/Bugzilla160 versions
    cpe:2.3:a:mozilla:bugzilla:2.0:*:*:*:*:*:*:*+ 159 more
    • cpe:2.3:a:mozilla:bugzilla:2.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.10:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.12:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.14:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.14.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.14.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.14.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.14.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.14.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16.10:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16.11:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16.9:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.16:rc2:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.17:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.17.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.17.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.17.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.17.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.17.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.17.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.17.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18.6\+:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18.9:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18:rc2:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.18:rc3:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.19:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.19.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.19.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.19.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.20:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.20.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.20.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.20.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.20.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.20.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.20.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.20.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.20:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.20:rc2:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.21:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.21.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.21.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.21.2:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.22:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.22.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.22.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.22.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.22.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.22.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.22.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.22.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.22:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.23:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.23.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.23.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.23.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.23.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:2.9:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0.10:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0.11:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0.9:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.0:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.1.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.1.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.1.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.1.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.1.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2.10:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2.9:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.2:rc2:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.3.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.3.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.3.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.3.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4.10:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4.11:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4.12:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4.9:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.4:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.5.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.5.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.5.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.6.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.6.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.6.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.6.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.6.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.6.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.6.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.6.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.6:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.7.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.7.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:3.7.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:4.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:4.0.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:4.0.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:4.0:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:4.0:rc2:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:4.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:4.1.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:4.1.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mozilla:bugzilla:4.1.3:*:*:*:*:*:*:*
  • Python Bugzilla Project/Python Bugzillallm-fuzzy
    Range: <3.4.13 / >=3.5.0 <3.6.7 / >=3.7.0 <4.0.3 / >=4.1.0 <=4.1.3

Patches

0

No patches discovered yet.

Vulnerability mechanics

AI mechanics synthesis has not run for this CVE yet.

References

3

News mentions

0

No linked articles in our index yet.