PT-2020-5946 · Mozilla+6 · Thunderbird+6

Damian Poddebniak

·

Publicado

2020-12-31

·

Atualizado

2024-06-15

·

CVE-2020-15685

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
**Nome do software vulnerável e versões afetadas:
Versões do Thunderbird anteriores à 78.7
Descrição:
O problema está relacionado à validação insuficiente de entradas durante o estabelecimento da conexão STARTTLS, especificamente na fase de texto simples. Isso poderia permitir que comandos de protocolo fossem injetados e executados dentro da sessão criptografada, afetando potencialmente a confidencialidade e a integridade das informações protegidas.
Recomendações:
Para versões anteriores à 78.7, atualize para a versão 78.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da configuração da conexão STARTTLS até que um patch esteja disponível.

Exploit

Correção

Command Injection

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77CWE-94

Identificadores relacionados

ALT-PU-2021-1160
ALT-PU-2021-1200
ALT-PU-2021-1369
BDU:2021-02078
CESA-2021_0298
CVE-2020-15685
DLA-2541-1
DSA-4842-1
MGASA-2021-0066
OPENSUSE-SU-2021:0208-1
OPENSUSE-SU-2021:0209-1
OPENSUSE-SU-2021_0208-1
OPENSUSE-SU-2021_0209-1
OPENSUSE-SU-2024:10601-1
RHSA-2021:0297
RHSA-2021:0298
RHSA-2021:0299
RHSA-2021:0397
RHSA-2021_0297
RHSA-2021_0298
SUSE-SU-2021:0245-1
SUSE-SU-2021:0257-1
USN-4736-1

Produtos afetados

Alt Linux
Astra Linux
Centos
Red Hat
Suse
Thunderbird
Ubuntu