PT-2024-4634 · Mozilla+3 · Thunderbird+5

Raphael Shaniyazov

·

Publicado

2024-06-11

·

Atualizado

2025-03-21

·

CVE-2024-5692

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas:
Versões do Mozilla Firefox anteriores à 127
Versões do Firefox ESR anteriores à 115.12
Versões do Thunderbird anteriores à 115.12
Descrição:
O problema está relacionado à validação insuficiente de entradas na função “Salvar como” do Mozilla Firefox, Firefox ESR e Thunderbird em sistemas operacionais Windows. Isso poderia permitir que um invasor remoto comprometesse a confidencialidade e a integridade de informações protegidas ao substituir caracteres nas extensões de arquivo. A vulnerabilidade pode ser explorada induzindo o navegador a salvar um arquivo com uma extensão não permitida, como .url, incluindo um caractere inválido na extensão.
Recomendações:
Para versões do Mozilla Firefox anteriores à 127, atualize para a versão 127 ou posterior para resolver o problema.
Para versões do Firefox ESR anteriores à 115.12, atualize para a versão 115.12 ou posterior para resolver o problema.
Para versões do Thunderbird anteriores à 115.12, atualize para a versão 115.12 ou posterior para resolver o problema.

Exploit

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-254CWE-20

Identificadores relacionados

ALT-PU-2024-10126
ALT-PU-2024-10593
ALT-PU-2024-13895
ALT-PU-2024-13897
ALT-PU-2024-13898
ALT-PU-2024-14780
ALT-PU-2024-14892
ALT-PU-2024-15087
ALT-PU-2024-15175
ALT-PU-2024-15839
ALT-PU-2024-15840
ALT-PU-2024-15841
BDU:2024-05142
CVE-2024-5692
OESA-2025-1258
OESA-2025-1322
OESA-2025-1323
OPENSUSE-SU-2024:14044-1
OPENSUSE-SU-2024:14049-1
OPENSUSE-SU-2024:14572-1
OPENSUSE-SU-2024_2061-1
SUSE-SU-2024:2012-1
SUSE-SU-2024:2061-1
SUSE-SU-2024:2073-1
SUSE-SU-2024:2371-1
SUSE-SU-2024:2399-1

Produtos afetados

Alt Linux
Firefox Esr
Firefox
Red Os
Suse
Thunderbird