PT-2020-6892 · Mozilla+4 · Firefox+4

Pete Freitag

·

Publicado

2020-06-10

·

Atualizado

2025-04-18

·

CVE-2022-46873

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 108
Descrição
O problema está relacionado à implementação insuficiente da diretiva CSP unsafe-hashes no Firefox, permitindo que um invasor capaz de injetar marcação em uma página protegida por uma Política de Segurança de Conteúdo (CSP) possa, potencialmente, injetar um script executável. Isso seria limitado pela Política de Segurança de Conteúdo especificada no documento. A vulnerabilidade pode permitir que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço.
Recomendações
Para versões anteriores à 108, atualize para uma versão que inclua a correção para este problema a fim de evitar uma possível exploração. Como solução alternativa temporária, considere restringir o uso da Política de Segurança de Conteúdo para minimizar o risco de exploração. Evite usar a diretiva unsafe-hashes na Política de Segurança de Conteúdo até que o problema seja resolvido.

Exploit

Correção

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74

Identificadores relacionados

ALT-PU-2022-3356
ALT-PU-2023-1043
ALT-PU-2023-5754
ALT-PU-2023-6436
ALT-PU-2024-3614
BDU:2023-04816
CVE-2022-46873
OESA-2025-1422
OESA-2025-1423
OPENSUSE-SU-2024:12577-1
OPENSUSE-SU-2024:14572-1
USN-5782-1
USN-5782-2
USN-5782-3

Produtos afetados

Alt Linux
Astra Linux
Firefox
Linuxmint
Ubuntu