PT-2022-5648 · Mozilla+9 · Firefox Esr+11

Dongsung Kim

Publicado

2022-11-15

Atualizado

2024-12-12

CVE-2022-45410

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Versões do Firefox anteriores à 107

Versões do Firefox ESR anteriores à 102.5

Versões do Thunderbird anteriores à 102.5

Descrição

O problema está relacionado a erros nas configurações de segurança do serviço Service Workers do Mozilla Firefox, Firefox ESR e do cliente de e-mail Thunderbird. A exploração dessa vulnerabilidade pode permitir que um invasor remoto contorne as restrições de segurança existentes. Especificamente, quando um ServiceWorker intercepta uma solicitação com um FetchEvent, a origem da solicitação é perdida após o ServiceWorker assumir o controle dela, anulando as proteções de cookies do SameSite.

Recomendações

Para versões do Firefox anteriores à 107, atualize para a versão 107 ou posterior para resolver o problema.

Para versões do Firefox ESR anteriores à 102.5, atualize para a versão 102.5 ou posterior para resolver o problema.

Para versões do Thunderbird anteriores à 102.5, atualize para a versão 102.5 ou posterior para resolver o problema.

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-254CWE-1275CWE-862

Identificadores relacionados

ALSA-2022:8547

ALSA-2022:8554

ALSA-2022:8561

ALSA-2022:8580

ALT-PU-2022-3090

ALT-PU-2022-3097

ALT-PU-2022-3099

ALT-PU-2022-3209

ALT-PU-2022-3270

ALT-PU-2022-3340

ALT-PU-2023-1137

ALT-PU-2023-1138

ALT-PU-2023-4335

ALT-PU-2023-4336

ALT-PU-2023-5754

ALT-PU-2024-3614

BDU:2022-07016

CESA-2022_8547

CESA-2022_8552

CESA-2022_8554

CESA-2022_8555

CVE-2022-45410

DLA-3196-1

DLA-3199-1

DSA-5282-1

DSA-5284-1

MGASA-2022-0427

MGASA-2022-0428

OESA-2023-1673

OESA-2023-1674

OPENSUSE-SU-2022_4058-1

OPENSUSE-SU-2022_4085-1

OPENSUSE-SU-2024:12518-1

OPENSUSE-SU-2024:12519-1

OPENSUSE-SU-2024:12532-1

OPENSUSE-SU-2024:14572-1

RHSA-2022:8543

RHSA-2022:8544

RHSA-2022:8545

RHSA-2022:8547

RHSA-2022:8548

RHSA-2022:8549

RHSA-2022:8550

RHSA-2022:8552

RHSA-2022:8553

RHSA-2022:8554

RHSA-2022:8555

RHSA-2022:8556

RHSA-2022:8561

RHSA-2022:8580

RHSA-2022:8979

RHSA-2022:8980

RHSA-2022_8547

RHSA-2022_8552

RHSA-2022_8554

RHSA-2022_8555

RHSA-2022_8561

RHSA-2022_8580

RLSA-2022:8547

RLSA-2022:8554

SUSE-SU-2022:4058-1

SUSE-SU-2022:4083-1

SUSE-SU-2022:4085-1

SUSE-SU-2022:4247-1

USN-5726-1

USN-5824-1

Produtos afetados

Alt Linux

Almalinux

Astra Linux

Centos

Firefox

Firefox Esr

Linuxmint

Red Hat

Rocky Linux

Suse

Thunderbird

Ubuntu

PT-2022-5648 · Mozilla+9 · Firefox Esr+11

CVE-2022-45410

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 2307