PT-2022-4928 · Mozilla+4 · Thunderbird+6

Hiroshige Hayashizaki

·

Publicado

2022-07-26

·

Atualizado

2025-03-14

·

CVE-2022-36315

CVSS v2.0

6.4

Média

VetorAV:N/AC:L/Au:N/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 103
Firefox ESR (versões afetadas não especificadas)
Thunderbird (versões afetadas não especificadas)
Descrição
O problema está relacionado a erros no gerenciamento de recursos ao carregar um script com Subresource Integrity. Invasores com capacidade de injeção poderiam reutilizar entradas previamente armazenadas em cache com metadados de integridade incorretos, afetando potencialmente a confidencialidade e a integridade das informações protegidas.
Recomendações
Para versões do Firefox anteriores à 103, atualize para a versão 103 ou posterior para resolver o problema.
Para o Firefox ESR, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Para o Thunderbird, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Insufficient Verification of Data Authenticity

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345CWE-399

Identificadores relacionados

ALT-PU-2022-2306
ALT-PU-2022-2930
ALT-PU-2023-1139
ALT-PU-2023-4339
ALT-PU-2023-5754
ALT-PU-2023-6436
ALT-PU-2024-3614
BDU:2022-06109
CVE-2022-36315
OESA-2025-1265
OESA-2025-1268
OPENSUSE-SU-2024:12227-1
OPENSUSE-SU-2024:14572-1
USN-5536-1

Produtos afetados

Alt Linux
Astra Linux
Firefox
Firefox Esr
Linuxmint
Thunderbird
Ubuntu