Lunascape 5.1.3 and 5.1.4 allows remote attackers to spoof the address bar, via window.open with a relative URI, to show an arbitrary URL on the web site visited by the victim, as demonstrated by a visit to an attacker-controlled web page, which triggers a spoofed login form for the site containing that page. NOTE: a related attack was reported in which an arbitrary file: URL is shown.

Lunascape v5.1.3 y v5.1.4 permiten falsificar la barra de direcciones a atacantes remotos, a través de window.open con una URI relativa, que muestra una dirección URL arbitraria de un sitio web visitado por la víctima, como lo demuestra la visita a una web controlada por el atacante, que lanza un formulario de acceso falso para el sitio que contiene esa página. NOTA: Se ha informado de un ataque relacionado en el que se muestra una URL arbitraria de tipo File: