PT-2022-4947 · Mozilla+1 · Firefox For Android+1

Eric Lawrence

+2

·

Publicado

2022-02-08

·

Atualizado

2024-12-12

·

CVE-2022-22758

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Firefox para Android, versões anteriores à 97
Descrição
O problema está relacionado ao tratamento de códigos USSD em links tel:. Quando um usuário clica nesse tipo de link, os códigos USSD especificados após o caractere * são incluídos no número de telefone. Isso pode potencialmente levar à execução de ações na conta do usuário, semelhante a um ataque de falsificação de solicitação entre sites (CSRF), em determinados telefones ou com determinadas operadoras.
Recomendações
Para versões do Firefox para Android anteriores à 97, atualize para a versão 97 ou posterior para resolver o problema. Como solução temporária, considere evitar clicar em links tel: que possam conter códigos USSD especificados após o caractere * até que a atualização seja aplicada.

Correção

Cleartext Transmission of Sensitive Information

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-319CWE-939

Identificadores relacionados

ALT-PU-2022-1230
ALT-PU-2022-2930
ALT-PU-2023-1139
ALT-PU-2023-4336
ALT-PU-2023-4339
BDU:2022-06140
CVE-2022-22758
OPENSUSE-SU-2024:11837-1
OPENSUSE-SU-2024:14572-1

Produtos afetados

Alt Linux
Firefox For Android