Scarlet

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 123 **Descrição** A API `fetch()` e a navegação compartilhavam incorretamente o mesmo cache, pois a chave do cache não incluía os cabeçalhos opcionais que a `fetch()` pode conter. Em determinadas circunstâncias, um invasor poderia ter contaminado o cache local do navegador, preparando-o com uma resposta `fetch()` controlada pelos cabeçalhos adicionais. Ao navegar para a mesma URL, o usuário veria a resposta armazenada em cache em vez da resposta esperada. **Recomendações** Para versões do Firefox anteriores à 123, atualize para uma versão que inclua a correção para este problema a fim de evitar ataques de contaminação de cache. Como solução temporária, considere desativar a API `fetch()` ou restringir seu uso até que um patch esteja disponível. Evite usar a API `fetch()` com cabeçalhos opcionais que possam ser controlados por um invasor.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 109.0.5414.74 **Description** The issue is related to insufficient policy enforcement in CORS, allowing a remote attacker to leak cross-origin data via a crafted HTML page. This could enable an attacker to access confidential data. **Recommendations** For versions prior to 109.0.5414.74, update to version 109.0.5414.74 or later to resolve the issue. As a temporary workaround, consider restricting access to sensitive data until the update is applied.

**Nome do software vulnerável e versões afetadas** Versões do Firefox ESR anteriores à 102.5 Versões do Thunderbird anteriores à 102.5 Versões do Firefox anteriores à 107 **Descrição** O rastreamento entre sites (Cross-Site Tracing) ocorre quando um servidor retorna uma solicitação por meio do método Trace, permitindo que um ataque XSS acesse cabeçalhos de autorização e cookies inacessíveis ao JavaScript, como cookies protegidos por HTTPOnly. Os navegadores impuseram limites ao `fetch()` e ao XMLHttpRequest para mitigar esse ataque. No entanto, alguns servidores web implementaram cabeçalhos não padronizados, como `X-Http-Method-Override`, que substituem o método HTTP, tornando esse ataque possível novamente. **Recomendações** Para versões do Firefox ESR anteriores à 102.5, atualize para a versão 102.5 ou posterior. Para versões do Thunderbird anteriores à 102.5, atualize para a versão 102.5 ou posterior. Para versões do Firefox anteriores à 107, atualize para a versão 107 ou posterior.