Satoki Tsuji

**Nome do Software Vulnerável e Versões Afetadas** Firefox versões anteriores a 151 Thunderbird versões anteriores a 151 **Descrição** Um problema de spoofing existe no componente Popup Blocker. **Recomendações** Atualizar para a versão 151.

**Nome do Software Vulnerável e Versões Afetadas** Firefox versões anteriores a 151 Firefox ESR versões anteriores a 115.36 Firefox ESR versões anteriores a 140.11 Thunderbird versões anteriores a 151 Thunderbird versões anteriores a 140.11 **Descrição** Um problema de use-after-free existe no componente DOM: Bindings (WebIDL). Use-after-free é uma falha de corrupção de memória que ocorre quando uma aplicação continua a usar um ponteiro após ele ter sido liberado. **Recomendações** Atualize o Firefox para a versão 151. Atualize o Firefox ESR para a versão 115.36. Atualize o Firefox ESR para a versão 140.11. Atualize o Thunderbird para a versão 151. Atualize o Thunderbird para a versão 140.11.

**Name of the Vulnerable Software and Affected Versions** Firefox versões anteriores a 150 Thunderbird versões anteriores a 150 **Description** Um bypass de mitigação existe no componente Networking: Cookies. **Recommendations** Atualize o Firefox para a versão 150. Atualize o Thunderbird para a versão 150.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 149 Firefox ESR versions prior to 140.9 Thunderbird versions prior to 149 Thunderbird versions prior to 140.9 **Description** A privilege escalation issue exists in the Netmonitor component. This allows for potential unauthorized access or control within the affected applications. **Recommendations** Update Firefox to version 149 or later. Update Firefox ESR to version 140.9 or later. Update Thunderbird to version 149 or later. Update Thunderbird to version 140.9 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do TkEasyGUI anteriores à 1.0.22 **Descrição** Existe uma vulnerabilidade de Injeção de Comandos do Sistema Operacional no TkEasyGUI. Se explorada, um atacante remoto não autenticado pode executar comandos arbitrários do sistema operacional caso as configurações estejam definidas para construir mensagens a partir de fontes externas. **Recomendações** Atualize o TkEasyGUI para a versão 1.0.22 ou posterior.

**Name of the Vulnerable Software and Affected Versions** TkEasyGUI versions prior to 1.0.22 **Description** An uncontrolled search path element issue exists that may lead to arbitrary code execution with the privileges of the running program. **Recommendations** Update TkEasyGUI to version 1.0.22 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Firefox anteriores à 139 **Descrição** O problema envolve a visualização de uma resposta nas DevTools ignorando cabeçalhos CSP, potencialmente permitindo ataques de injeção de conteúdo. **Recomendações** Para versões anteriores à 139, atualize para a versão 139 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 131 Versões do Firefox ESR anteriores à 128.3 Versões do Thunderbird anteriores à 128.3 Versões do Thunderbird anteriores à 131 **Descrição** Este problema está relacionado à função `window.open` nos navegadores Mozilla, o que pode levar à divulgação de informações devido a uma inconsistência. Um invasor poderia determinar se um aplicativo que implementa um manipulador de protocolo específico está instalado, verificando o resultado das chamadas para `window.open` com manipuladores de protocolo especificamente definidos. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. **Recomendações** Para versões do Firefox anteriores à 131, atualize para a versão 131 ou posterior para resolver o problema. Para versões do Firefox ESR anteriores à 128.3, atualize para a versão 128.3 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 128.3, atualize para a versão 128.3 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 131, atualize para a versão 131 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função `window.open` com manipuladores de protocolo especificamente definidos até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: Versões do Firefox anteriores à 127 Versões do Firefox ESR anteriores à 115.12 Versões do Thunderbird anteriores à 115.12 Descrição: O problema está relacionado ao uso de canais laterais ocultos, permitindo que um invasor possa adivinhar quais manipuladores de protocolo externos estão em funcionamento no sistema de um usuário, monitorando o tempo que certas operações levam. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. Recomendações: Para versões do Firefox anteriores à 127, atualize para a versão 127 ou posterior. Para versões do Firefox ESR anteriores à 115.12, atualize para a versão 115.12 ou posterior. Para versões do Thunderbird anteriores à 115.12, atualize para a versão 115.12 ou posterior.

**Nome do software vulnerável e versões afetadas** Nako3edit versões 3.3.74 e anteriores **Descrição** A vulnerabilidade permite que um invasor remoto obtenha a chave de aplicativo (appkey) do produto e execute um comando arbitrário do sistema operacional no produto. Isso se deve a uma vulnerabilidade de injeção de comando do sistema operacional no componente editor do Nako3edit (versão para PC). **Recomendações** Para as versões 3.3.74 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Nako3edit versões 3.3.74 e anteriores **Descrição** O problema está relacionado a uma verificação ou tratamento inadequado de condições excepcionais no componente Nako3edit, que faz parte da linguagem de programação Nadeshiko 3. Isso permite que um invasor remoto injete um valor inválido na função `decodeURIComponent` do Nako3edit. Como resultado, o servidor pode travar. **Recomendações** Para as versões 3.3.74 e anteriores, considere desativar a função `decodeURIComponent` no Nako3edit como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao componente Nako3edit para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Nadesiko3 (versão para PC) versões 3.3.61 e anteriores Nadesiko3 (versão para PC) versões 3.3.68 e anteriores **Descrição** A vulnerabilidade permite que um invasor remoto execute um comando arbitrário do sistema operacional durante o processamento de compactação e descompactação no produto. As notas de lançamento das versões 3.3.62 e 3.3.69 incluem links para patches para esta vulnerabilidade, e o comunicado do JPCERT/CC lista as versões 3.3.68 e anteriores como vulneráveis, com o patch mais recente associado à versão 3.3.69. **Recomendações** Para as versões 3.3.61 e anteriores, atualize para a versão 3.3.69 ou posterior para resolver o problema. Para as versões 3.3.62 a 3.3.68, atualize para a versão 3.3.69 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às funcionalidades de compactação e descompactação até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 105 Versões do Firefox ESR anteriores à 102.3 Versões do Thunderbird anteriores à 102.3 **Descrição** O problema está relacionado a uma restrição incorreta de camadas ou quadros visualizáveis na interface do usuário ao lidar com elementos HTML, especificamente com a implementação da diretiva `base-uri` da Política de Segurança de Conteúdo (CSP) nos navegadores. Isso pode permitir que um invasor remoto contorne as restrições de segurança injetando um elemento HTML base, que algumas solicitações aceitariam em vez das configurações `base-uri` da CSP. **Recomendações** Para versões do Firefox anteriores à 105, atualize para a versão 105 ou posterior para resolver o problema. Para versões do Firefox ESR anteriores à 102.3, atualize para a versão 102.3 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 102.3, atualize para a versão 102.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do CSV+ anteriores à 0.8.1 **Descrição** Uma vulnerabilidade de cross-site scripting permite que um invasor remoto não autenticado injete um script arbitrário ou um comando arbitrário do sistema operacional por meio de um arquivo CSV especialmente criado que contenha uma tag HTML `a`. **Recomendações** Para versões anteriores à 0.8.1, atualize para a versão 0.8.1 ou posterior para resolver o problema. Como solução temporária, considere restringir a importação de arquivos CSV de fontes não confiáveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** KonaWiki versões 3.1.0 e anteriores **Descrição** Uma vulnerabilidade de cross-site scripting permite que invasores remotos executem um script arbitrário por meio de uma URL especialmente criada. **Recomendações** Para as versões 3.1.0 e anteriores, atualize para uma versão posterior à 3.1.0 para resolver o problema.

**Nome do software vulnerável e versões afetadas** KonaWiki versões 3.1.0 e anteriores **Descrição** Uma vulnerabilidade de traversal de diretório permite que invasores remotos leiam arquivos arbitrários. **Recomendações** Para as versões 3.1.0 e anteriores, atualize para uma versão posterior à 3.1.0 para resolver o problema.

**Nome do software vulnerável e versões afetadas** KonaWiki versões 2.2.0 e anteriores **Descrição** Uma vulnerabilidade de cross-site scripting permite que invasores remotos executem um script arbitrário por meio de uma URL especialmente criada. **Recomendações** Para as versões 2.2.0 e anteriores, atualize para uma versão posterior à 2.2.0 para resolver o problema.