PT-2024-3597 · Mozilla+2 · Thunderbird+4

Eduardo Braun Prado

·

Publicado

2024-04-16

·

Atualizado

2025-07-29

·

CVE-2024-3863

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas:
Versões do Mozilla Firefox anteriores à 125
Versões do Mozilla Firefox ESR anteriores à 115.10
Versões do Thunderbird anteriores à 115.10
Descrição:
O problema está relacionado à ausência de um aviso sobre ações potencialmente perigosas ao baixar determinados arquivos. Isso poderia permitir que um invasor remoto contornasse restrições de segurança e executasse código arbitrário usando arquivos especialmente criados no formato .xrm-ms. O número estimado de dispositivos potencialmente afetados não foi fornecido.
Recomendações:
Para versões do Mozilla Firefox anteriores à 125, atualize para a versão 125 ou posterior para resolver o problema.
Para versões do Mozilla Firefox ESR anteriores à 115.10, atualize para a versão 115.10 ou posterior para resolver o problema.
Para versões do Thunderbird anteriores à 115.10, atualize para a versão 115.10 ou posterior para resolver o problema.

Exploit

Correção

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-434CWE-357

Identificadores relacionados

ALT-PU-2024-13897
ALT-PU-2024-14442
ALT-PU-2024-14892
ALT-PU-2024-15175
ALT-PU-2024-15839
ALT-PU-2024-15841
ALT-PU-2024-6719
ALT-PU-2024-6721
ALT-PU-2024-6765
ALT-PU-2024-7489
ALT-PU-2024-7685
BDU:2024-03908
CVE-2024-3863
OPENSUSE-SU-2024:13884-1
OPENSUSE-SU-2024:13907-1
OPENSUSE-SU-2024:14572-1
OPENSUSE-SU-2024_1350-1
OPENSUSE-SU-2024_1437-1
OPENSUSE-SU-2024_1770-1
SUSE-SU-2024:1319-1
SUSE-SU-2024:1350-1
SUSE-SU-2024:1437-1
SUSE-SU-2024:1676-1
SUSE-SU-2024:1770-1
ZDI-25-708

Produtos afetados

Alt Linux
Firefox
Firefox Esr
Suse
Thunderbird