PT-2025-4128 · Mozilla+10 · Thunderbird+10

R3M0T3Nu11

·

Publicado

2025-02-04

·

Atualizado

2025-10-08

·

CVE-2025-1015

CVSS v2.0

6.4

Média

VetorAV:N/AC:L/Au:N/C:P/I:P/A:N
Nome do Software Vulnerável e Versões Afetadas Versões do Thunderbird anteriores à 128.7
Descrição Os campos URI do Catálogo de Endereços do Thunderbird continham links não sanitizados, que poderiam ser usados por um atacante para criar e exportar um catálogo de endereços contendo uma carga maliciosa em um campo, como o campo "Outro" da seção de Mensagens Instantâneas. Se outro usuário importasse o catálogo de endereços, clicar no link poderia resultar na abertura de uma página web dentro do Thunderbird, e essa página poderia executar JavaScript sem privilégios.
Recomendações Para versões do Thunderbird anteriores à 128.7, atualize para a versão 128.7 ou posterior para resolver o problema. Como medida temporária, considere evitar a importação de catálogos de endereços de fontes não confiáveis para minimizar o risco de exploração. Restrinja o acesso aos campos URI do Catálogo de Endereços para impedir a criação e exportação de catálogos de endereços maliciosos.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALSA-2025:1184
ALSA-2025:1292
ALT-PU-2025-4001
ALT-PU-2025-7695
BDU:2025-02315
CESA-2025_1292
CVE-2025-1015
DLA-4045-1
DSA-5861-1
INFSA-2025_1184
INFSA-2025_1292
MGASA-2025-0048
OESA-2025-1835
OPENSUSE-SU-2025:14731-1
OPENSUSE-SU-2025_0405-1
RHSA-2025:1184
RHSA-2025:1292
RHSA-2025:1317
RHSA-2025:1318
RHSA-2025:1319
RHSA-2025:1339
RHSA-2025:1340
RHSA-2025:1341
RHSA-2025:1348
RHSA-2025_1184
RHSA-2025_1292
RLSA-2025:1292
SUSE-SU-2025:0405-1
USN-7663-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Thunderbird
Ubuntu