Terjanq

**Nome do Software Vulnerável e Versões Afetadas** Versões do Firefox anteriores à 139 Versões do Firefox ESR anteriores à 115.24 Versões do Firefox ESR anteriores à 128.11 **Descrição** O problema surge do isolamento incorreto do tratamento de erros para execução de scripts provenientes de conteúdo web, permitindo potencialmente ataques de vazamento cross-origin. **Recomendações** Para versões do Firefox anteriores à 139, atualize para a versão 139 ou posterior. Para versões do Firefox ESR anteriores à 115.24, atualize para a versão 115.24 ou posterior. Para versões do Firefox ESR anteriores à 128.11, atualize para a versão 128.11 ou posterior.

**Nome do software vulnerável e versões afetadas** OWASP ModSecurity Core Rule Set (CRS), versões 3.0.x a 3.3.2 **Descrição** A vulnerabilidade diz respeito a uma contornagem parcial do conjunto de regras por meio do envio de um campo de cabeçalho HTTP Content-Type especialmente criado, que indica múltiplos esquemas de codificação de caracteres. Um back-end vulnerável pode ser potencialmente explorado ao declarar múltiplos nomes de `charset` no Content-Type, contornando assim a lista de permissões configurável de `charset` do cabeçalho Content-Type do CRS. Uma carga útil codificada pode contornar a detecção do CRS e, em seguida, ser decodificada pelo back-end. **Recomendações** Para as versões 3.0.x e 3.1.x, atualize para uma versão mais recente, pois essas são legadas e não têm mais suporte. Para a versão 3.2.1, atualize para a 3.2.2. Para a versão 3.3.2, atualize para a 3.3.3. Como solução alternativa temporária, considere restringir o uso de vários nomes de `charset` no campo de cabeçalho Content-Type para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** OWASP ModSecurity Core Rule Set (CRS), versões 3.0.x a 3.3.2 **Descrição** A vulnerabilidade diz respeito a uma contornamento parcial do conjunto de regras para solicitações HTTP multipart. Isso ocorre quando uma carga útil utiliza um esquema de codificação de caracteres por meio dos campos de cabeçalho MIME multipart `Content-Type` ou do campo obsoleto `Content-Transfer-Encoding`. Como resultado, o mecanismo do firewall de aplicativos web e o conjunto de regras não decodificam nem inspecionam a carga útil, permitindo que ela contorne a detecção. Um backend vulnerável que suporte esses esquemas de codificação pode ser potencialmente explorado. **Recomendações** Para as versões 3.0.x e 3.1.x, atualize para a versão 3.2.2 ou 3.3.3, respectivamente. Para a versão 3.2.1, atualize para a versão 3.2.2. Para a versão 3.3.2, atualize para a versão 3.3.3. Como medida de mitigação geral, instale a versão mais recente do ModSecurity (v2.9.6 / v3.0.8).

**Nome do software vulnerável e versões afetadas** Versões do Thunderbird anteriores à 68.5 Versões do Firefox anteriores à 73 Versões do Firefox ESR anteriores à 68.5 **Descrição** O problema ocorre quando uma tag de modelo é usada em uma tag select, causando confusão no analisador e potencialmente permitindo a análise e execução de JavaScript onde isso não deveria ser permitido. Isso pode levar a um problema de cross-site scripting para sites que dependem do comportamento correto do navegador. O risco é mais significativo em contextos de navegador ou similares, em vez de em clientes de e-mail como o Thunderbird, onde os scripts são desativados durante a leitura de e-mails. **Recomendações** Para versões do Thunderbird anteriores à 68.5, atualize para a versão 68.5 ou posterior. Para versões do Firefox anteriores à 73, atualize para a versão 73 ou posterior. Para versões do Firefox ESR anteriores à 68.5, atualize para a versão 68.5 ou posterior.