PT-2022-3600 · Mozilla+8 · Thunderbird+10

Luan Herrera

Publicado

2022-05-31

Atualizado

2024-12-18

CVE-2022-31736

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Versões do Firefox anteriores à 101

Versões do Firefox ESR anteriores à 91.10

Versões do Thunderbird anteriores à 91.10

Descrição

O problema está relacionado à implementação do mecanismo Cross-Origin Resource Sharing (CORS) nos navegadores, que permite que um site malicioso descubra o tamanho de um recurso de origem cruzada que suporte solicitações Range. Isso pode ser feito explorando a vulnerabilidade com uma solicitação especialmente criada contendo um cabeçalho Range.

Recomendações

Para versões do Firefox anteriores à 101, atualize para a versão 101 ou posterior para resolver o problema.

Para versões do Firefox ESR anteriores à 91.10, atualize para a versão 91.10 ou posterior para resolver o problema.

Para versões do Thunderbird anteriores à 91.10, atualize para a versão 91.10 ou posterior para resolver o problema.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-942CWE-829

Identificadores relacionados

ALT-PU-2022-1988

ALT-PU-2022-1995

ALT-PU-2022-1996

ALT-PU-2022-2000

ALT-PU-2022-2006

ALT-PU-2022-2017

ALT-PU-2022-2031

ALT-PU-2022-2044

ALT-PU-2022-2053

ALT-PU-2022-2458

ALT-PU-2022-2929

ALT-PU-2022-2930

ALT-PU-2023-1138

ALT-PU-2023-1139

ALT-PU-2023-4336

ALT-PU-2023-4339

BDU:2022-04384

CESA-2022_4870

CESA-2022_4872

CESA-2022_4887

CESA-2022_4891

CVE-2022-31736

DLA-3040-1

DLA-3041-1

DSA-5156-1

DSA-5158-1

MGASA-2022-0220

MGASA-2022-0221

OESA-2023-1673

OESA-2023-1674

OPENSUSE-SU-2022_1920-1

OPENSUSE-SU-2022_2062-1

OPENSUSE-SU-2024:12117-1

OPENSUSE-SU-2024:12121-1

OPENSUSE-SU-2024:14572-1

RHSA-2022:4870

RHSA-2022:4871

RHSA-2022:4872

RHSA-2022:4873

RHSA-2022:4875

RHSA-2022:4876

RHSA-2022:4887

RHSA-2022:4888

RHSA-2022:4889

RHSA-2022:4890

RHSA-2022:4891

RHSA-2022:4892

RHSA-2022_4870

RHSA-2022_4872

RHSA-2022_4873

RHSA-2022_4887

RHSA-2022_4891

RHSA-2022_4892

RLSA-2022:4872

RLSA-2022:4887

SUSE-SU-2022:1920-1

SUSE-SU-2022:1921-1

SUSE-SU-2022:1927-1

SUSE-SU-2022:2062-1

SUSE-SU-2022_1920-1

SUSE-SU-2022_1921-1

SUSE-SU-2022_1927-1

USN-5475-1

USN-5512-1

Produtos afetados

Alt Linux

Astra Linux

Centos

Firefox

Firefox Esr

Linuxmint

Red Hat

Rocky Linux

Suse

Thunderbird

Ubuntu

PT-2022-3600 · Mozilla+8 · Thunderbird+10

CVE-2022-31736

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 2255