PT-2022-4994 · Mozilla+10 · Thunderbird+12
Satoki Tsuji
·
Publicado
2022-09-20
·
Atualizado
2024-12-12
·
CVE-2022-40956
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 105
Versões do Firefox ESR anteriores à 102.3
Versões do Thunderbird anteriores à 102.3
Descrição
O problema está relacionado a uma restrição incorreta de camadas ou quadros visualizáveis na interface do usuário ao lidar com elementos HTML, especificamente com a implementação da diretiva
base-uri da Política de Segurança de Conteúdo (CSP) nos navegadores. Isso pode permitir que um invasor remoto contorne as restrições de segurança injetando um elemento HTML base, que algumas solicitações aceitariam em vez das configurações base-uri da CSP.Recomendações
Para versões do Firefox anteriores à 105, atualize para a versão 105 ou posterior para resolver o problema.
Para versões do Firefox ESR anteriores à 102.3, atualize para a versão 102.3 ou posterior para resolver o problema.
Para versões do Thunderbird anteriores à 102.3, atualize para a versão 102.3 ou posterior para resolver o problema.
Exploit
Correção
Clickjacking
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Firefox
Firefox Esr
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Thunderbird
Ubuntu