PT-2025-21188 · Mozilla+11 · Thunderbird+11

Dario Weißer

·

Publicado

2025-05-13

·

Atualizado

2025-10-01

·

CVE-2025-3932

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas: Versões do Thunderbird anteriores a 128.10.1 Versões do Thunderbird anteriores a 138.0.1
Descrição: O problema permitia que um atacante criasse um e-mail que exibia um link de rastreamento como um anexo. Quando o usuário tentava abrir o anexo, o Thunderbird acessava o link automaticamente. A configuração para bloquear conteúdo remoto não impedía esse comportamento. O problema foi corrigido para impedir o acesso a páginas web listadas no cabeçalho X-Mozilla-External-Attachment-URL de um e-mail.
Recomendações: Para versões anteriores a 128.10.1, atualize para a versão 128.10.1 ou posterior para resolver o problema. Para versões anteriores a 138.0.1, atualize para a versão 138.0.1 ou posterior para resolver o problema.

Correção

Authentication Bypass Using an Alternate Path or Channel

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-288CWE-200

Identificadores relacionados

ALSA-2025:8196
ALSA-2025:8756
ALT-PU-2025-11495
ALT-PU-2025-8611
BDU:2025-08557
CESA-2025_8756
CVE-2025-3932
DLA-4167-1
DSA-5921-1
INFSA-2025_8203
INFSA-2025_8756
MGASA-2025-0168
OESA-2025-1835
OPENSUSE-SU-2025:15131-1
OPENSUSE-SU-2025_01660-1
RHSA-2025:8196
RHSA-2025:8203
RHSA-2025:8324
RHSA-2025:8325
RHSA-2025:8326
RHSA-2025:8391
RHSA-2025:8507
RHSA-2025:8594
RHSA-2025:8756
RHSA-2025:8784
RHSA-2025_8203
RHSA-2025_8756
SUSE-SU-2025:01660-1
SUSE-SU-2025:01660-2
USN-7663-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Thunderbird
Ubuntu