PT-2022-4971 · Mozilla+4 · Firefox+4

James Graham

·

Publicado

2022-02-08

·

Atualizado

2024-12-12

·

CVE-2022-22757

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Mozilla Firefox anteriores à 97
Descrição
O problema está relacionado ao Remote Agent usado no WebDriver, que não validava corretamente os cabeçalhos Host ou Origin. Isso poderia ter permitido que sites se conectassem de volta ao navegador do usuário e o controlassem. O número estimado de dispositivos potencialmente afetados não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Os detalhes técnicos sobre a exploração incluem a falta de validação dos cabeçalhos Host ou Origin, o que poderia permitir que um invasor contornasse restrições de segurança, divulgasse informações protegidas e executasse código arbitrário.
Recomendações
Para versões do Mozilla Firefox anteriores à 97, atualize para a versão 97 ou posterior para resolver o problema.
Como solução temporária, considere desativar o recurso WebDriver até que um patch esteja disponível.

Exploit

Correção

Insufficient Verification of Data Authenticity

Origin Validation Error

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345CWE-346

Identificadores relacionados

ALT-PU-2022-1230
ALT-PU-2022-2458
ALT-PU-2022-2929
ALT-PU-2022-2930
ALT-PU-2023-1138
ALT-PU-2023-1139
ALT-PU-2023-4336
ALT-PU-2023-4339
BDU:2022-06166
CVE-2022-22757
OESA-2023-1673
OESA-2023-1674
OPENSUSE-SU-2024:11837-1
OPENSUSE-SU-2024:14572-1
USN-5284-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Firefox
Ubuntu