PT-2022-4951 · Mozilla+4 · Firefox+4

Jack Wrenn

·

Publicado

2022-02-08

·

Atualizado

2024-12-12

·

CVE-2022-22755

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 97
Descrição
O problema está relacionado ao controle insuficiente de recursos durante a execução de transformações de documentos XML, permitindo que um invasor remoto cause uma negação de serviço, contorne restrições de segurança, acesse informações confidenciais ou execute código JavaScript arbitrário usando um documento XML especialmente criado. Um servidor web malicioso poderia enviar a um usuário um documento XSL que continuaria a executar JavaScript dentro dos limites da política de mesma origem, mesmo após o fechamento da aba.
Recomendações
Para versões anteriores à 97, atualize para a versão 97 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de transformações XSL no Firefox até que um patch seja aplicado. Evite usar o Firefox para acessar sites não confiáveis ou documentos XML de fontes desconhecidas até que o problema seja resolvido.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-672CWE-664

Identificadores relacionados

ALT-PU-2022-1230
ALT-PU-2022-2458
ALT-PU-2022-2929
ALT-PU-2022-2930
ALT-PU-2023-1138
ALT-PU-2023-1139
ALT-PU-2023-4336
ALT-PU-2023-4339
BDU:2022-06144
CVE-2022-22755
OESA-2023-1673
OESA-2023-1674
OESA-2024-1288
OESA-2024-1308
OPENSUSE-SU-2024:11837-1
OPENSUSE-SU-2024:14572-1
USN-5284-1

Produtos afetados

Alt Linux
Astra Linux
Firefox
Linuxmint
Ubuntu