Mozilla Thunderbird até 102.1 XSLT Error Elevação de Privilégios
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 6.2 | $5k-$25k | 0.00 |
Sumário
Foi identificada uma vulnerabilidade classificada como crítico em Mozilla Thunderbird até 102.1. O elemento afetado é uma função não identificada no componente XSLT Error Handler. O tratamento leva a Elevação de Privilégios. Esta vulnerabilidade é identificada como CVE-2022-38472. É possível lançar o ataque remotamente. Não existe nenhum exploit disponível. Recomenda-se a actualização do componente afectado.
Detalhes
Foi identificada uma vulnerabilidade classificada como crítico em Mozilla Thunderbird até 102.1. O elemento afetado é uma função não identificada no componente XSLT Error Handler. O tratamento leva a Elevação de Privilégios. Usar CWE para declarar o problema leva a CWE-451. O problema foi divulgado 23/08/2022 por Armin Ebert como Bug 1769155 como Aconselhamento (Site). O comunicado foi disponibilizado para download em bugzilla.mozilla.org. A publicação apresenta:
An attacker could have abused XSLT error handling to associate attacker-controlled content with another origin which was displayed in the address bar. This could have been used to fool the user into submitting data intended for the spoofed origin.
Esta vulnerabilidade é identificada como CVE-2022-38472. É possível lançar o ataque remotamente. Nenhuma informação técnica disponível. Esta vulnerabilidade apresenta popularidade inferior à média. Não existe nenhum exploit disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $5k-$25k no momento. O projeto MITRE ATT&CK identifica a técnica de ataque como T1566.003.
Está declarado como não definido. Como 0 dia, o preço estimado do subsolo foi de cerca de $25k-$100k.
A actualização para a versão 102.2 é capaz de abordar esta questão. Recomenda-se a actualização do componente afectado.
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.mozilla.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 6.4VulDB Meta Pontuação Temporária: 6.2
VulDB Pontuação Base: 6.3
VulDB Pontuação Temporária: 6.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 6.5
NVD Vetor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
Exploração
Classe: Elevação de PrivilégiosCWE: CWE-451
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Atualização: Thunderbird 102.2
Linha do tempo
19/08/2022 🔍23/08/2022 🔍
23/08/2022 🔍
29/09/2022 🔍
22/06/2026 🔍
Fontes
Fabricante: mozilla.orgAconselhamento: Bug 1769155
Pessoa: Armin Ebert
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2022-38472 (🔍)
GCVE (CVE): GCVE-0-2022-38472
GCVE (VulDB): GCVE-100-209813
EUVD: 🔍
Entrada
Criado: 29/09/2022 14h57Atualizado: 22/06/2026 16h37
Ajustamentos: 29/09/2022 14h57 (18), 29/09/2022 15h00 (28), 25/10/2022 14h24 (1), 15/04/2025 19h25 (27), 22/06/2026 16h37 (1)
Completo: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.