PT-2025-26730 · Mozilla+5 · Firefox+5

Simon

·

Publicado

2025-06-24

·

Atualizado

2026-02-02

·

CVE-2025-6433

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas: Versões do Firefox anteriores à 140
Descrição: O problema ocorre quando um usuário visita uma página web com um certificado TLS inválido e aceita uma exceção. Neste cenário, a página web pode apresentar um desafio WebAuthn que o usuário é solicitado a concluir, violando a especificação WebAuthn que requer um transporte seguro estabelecido sem erros.
Recomendações: Para versões do Firefox anteriores à 140, atualize para a versão 140 ou posterior para resolver o problema. Como medida paliativa temporária, considere evitar aceitar exceções para certificados TLS inválidos para minimizar o risco de exploração. Restrinja o acesso a desafios WebAuthn em páginas web com certificados TLS inválidos até que o problema seja resolvido.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

ALT-PU-2025-11100
ALT-PU-2025-11495
ALT-PU-2025-11497
ALT-PU-2025-14599
ALT-PU-2025-8725
ALT-PU-2025-9988
BDU:2025-07649
CVE-2025-6433
OPENSUSE-SU-2025:15325-1
OPENSUSE-SU-2025:15371-1
OPENSUSE-SU-2025:15383-1
SUSE-SU-2025:02339-1
SUSE-SU-2025:02529-1
SUSE-SU-2025:02546-1
SUSE-SU-2025_02339-1
SUSE-SU-2025_02529-1
USN-7991-1

Produtos afetados

Alt Linux
Astra Linux
Firefox
Linuxmint
Suse
Ubuntu