PT-2022-2617 · Mozilla+10 · Thunderbird+12

Matheus Vrech

Publicado

2022-05-03

Atualizado

2024-12-12

CVE-2022-29911

CVSS v2.0

7.6

Alta

Vetor

AV:N/AC:H/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Versões do Thunderbird anteriores à 91.9

Versões do Firefox ESR anteriores à 91.9

Versões do Firefox anteriores à 100

Descrição

O problema está relacionado a uma implementação incorreta da nova palavra-chave de sandbox do iframe allow-top-navigation-by-user-activation, o que poderia levar à execução de scripts sem a presença de allow-scripts. Isso permite que um invasor remoto contorne as restrições de segurança existentes para frames carregados, explorando a vulnerabilidade no ambiente isolado dos navegadores web com iframe.

Recomendações

Para versões do Thunderbird anteriores à 91.9, atualize para a versão 91.9 ou posterior.

Para versões do Firefox ESR anteriores à 91.9, atualize para a versão 91.9 ou posterior.

Para versões do Firefox anteriores à 100, atualize para a versão 100 ou posterior.

Exploit

Correção

Clickjacking

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1021CWE-200

Identificadores relacionados

ALSA-2022:1705

ALSA-2022:1730

ALT-PU-2022-1812

ALT-PU-2022-1819

ALT-PU-2022-1847

ALT-PU-2022-1855

ALT-PU-2022-1941

ALT-PU-2022-1951

ALT-PU-2022-1983

ALT-PU-2022-2044

ALT-PU-2022-2053

ALT-PU-2022-2458

ALT-PU-2022-2929

ALT-PU-2022-2930

ALT-PU-2023-1138

ALT-PU-2023-1139

ALT-PU-2023-4336

ALT-PU-2023-4339

BDU:2022-03075

CESA-2022_1703

CESA-2022_1705

CESA-2022_1725

CESA-2022_1730

CVE-2022-29911

DLA-2994-1

DLA-3020-1

DSA-5129-1

DSA-5141-1

MGASA-2022-0162

MGASA-2022-0163

OESA-2023-1673

OESA-2023-1674

OPENSUSE-SU-2022_1719-1

OPENSUSE-SU-2022_1748-1

OPENSUSE-SU-2024:12044-1

OPENSUSE-SU-2024:12045-1

OPENSUSE-SU-2024:14572-1

RHSA-2022:1701

RHSA-2022:1702

RHSA-2022:1703

RHSA-2022:1704

RHSA-2022:1705

RHSA-2022:1724

RHSA-2022:1725

RHSA-2022:1726

RHSA-2022:1727

RHSA-2022:1730

RHSA-2022:4589

RHSA-2022:4590

RHSA-2022_1703

RHSA-2022_1705

RHSA-2022_1725

RHSA-2022_1730

RHSA-2022_4589

RHSA-2022_4590

RLSA-2022:1705

RLSA-2022:1730

SUSE-RU-2022:1579-1

SUSE-SU-2022:1719-1

SUSE-SU-2022:1731-1

SUSE-SU-2022:1748-1

SUSE-SU-2022:1757-1

SUSE-SU-2022_1719-1

USN-5411-1

USN-5435-1

Produtos afetados

Alt Linux

Almalinux

Astra Linux

Centos

Firefox

Firefox Esr

Linuxmint

Red Hat

Red Os

Rocky Linux

Suse

Thunderbird

Ubuntu

PT-2022-2617 · Mozilla+10 · Thunderbird+12

CVE-2022-29911

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 2258