PT-2024-5825 · Mozilla+10 · Thunderbird+12

Rob Wu

·

Publicado

2024-08-06

·

Atualizado

2025-03-14

·

CVE-2024-7525

CVSS v2.0

9.4

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 129
Versões do Firefox ESR anteriores à 115.14
Versões do Firefox ESR anteriores à 128.1
Versões do Thunderbird anteriores à 128.1
Versões do Thunderbird anteriores à 115.14
Descrição
O problema está relacionado a um controle de acesso insuficiente, permitindo que uma extensão da web com permissões mínimas crie um StreamFilter, que poderia ser usado para ler e modificar o corpo da resposta de solicitações em qualquer site. Isso poderia permitir que um invasor remoto contornasse restrições de segurança e comprometesse a confidencialidade e a integridade de informações protegidas.
Recomendações
Para versões do Firefox anteriores à 129, atualize para a versão 129 ou posterior.
Para versões do Firefox ESR anteriores à 115.14, atualize para a versão 115.14 ou posterior.
Para versões do Firefox ESR anteriores à 128.1, atualize para a versão 128.1 ou posterior.
Para versões do Thunderbird anteriores à 128.1, atualize para a versão 128.1 ou posterior.
Para versões do Thunderbird anteriores à 115.14, atualize para a versão 115.14 ou posterior.
Como solução temporária, considere desativar o uso do StreamFilter em extensões da web até que um patch esteja disponível.

Correção

Improper Access Control

Incorrect Default Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-276

Identificadores relacionados

ALSA-2024:5322
ALSA-2024:5391
ALSA-2024:5392
ALSA-2024:5402
ALT-PU-2024-13895
ALT-PU-2024-13897
ALT-PU-2024-13898
ALT-PU-2024-14780
ALT-PU-2024-14892
ALT-PU-2024-15087
ALT-PU-2024-15175
ALT-PU-2024-15839
ALT-PU-2024-15840
ALT-PU-2024-15841
BDU:2024-06570
CESA-2024_5391
CESA-2024_5402
CVE-2024-7525
DSA-5740-1
DSA-5744-1
INFSA-2024_5322
INFSA-2024_5391
INFSA-2024_5392
INFSA-2024_5402
MGASA-2024-0325
MGASA-2024-0332
MGASA-2024-0334
OESA-2024-1976
OESA-2025-1265
OESA-2025-1268
OPENSUSE-SU-2024:14250-1
OPENSUSE-SU-2024:14260-1
OPENSUSE-SU-2024:14572-1
OPENSUSE-SU-2024_3003-1
OPENSUSE-SU-2024_3112-1
OPENSUSE-SU-2024_3507-1
RHSA-2024:5322
RHSA-2024:5323
RHSA-2024:5324
RHSA-2024:5325
RHSA-2024:5326
RHSA-2024:5327
RHSA-2024:5328
RHSA-2024:5329
RHSA-2024:5391
RHSA-2024:5392
RHSA-2024:5393
RHSA-2024:5394
RHSA-2024:5395
RHSA-2024:5396
RHSA-2024:5402
RHSA-2024:5527
RHSA-2024:5528
RHSA-2024_5322
RHSA-2024_5391
RHSA-2024_5392
RHSA-2024_5402
ROSA-SA-2025-2563
SUSE-SU-2024:2876-1
SUSE-SU-2024:3003-1
SUSE-SU-2024:3112-1
SUSE-SU-2024:3507-1
USN-6966-1
USN-6966-2
USN-6995-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Firefox
Firefox Esr
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Thunderbird
Ubuntu