Mozilla Thunderbird até 91.7 Rust Regex Crate Elevação de Privilégios

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
5.8$0-$5k0.00

Sumárioinformação

Uma vulnerabilidade classificada como problemático foi encontrada em Mozilla Thunderbird até 91.7. Afectado é uma função desconhecida do componente Rust Regex Crate. O tratamento leva a Elevação de Privilégios. A vulnerabilidade é identificada como CVE-2022-24713. O ataque pode ser feito a partir da rede. Não há nenhuma exploração disponível. É recomendado atualizar o componente afetado.

Detalhesinformação

Uma vulnerabilidade classificada como problemático foi encontrada em Mozilla Thunderbird até 91.7. Afectado é uma função desconhecida do componente Rust Regex Crate. O tratamento leva a Elevação de Privilégios. Declarar o problema usando CWE resulta em CWE-185. O problema foi divulgado 05/04/2022 por Addison Crump and Jan-Erik Rediger como Bug 1758509 como Aconselhamento (Site). O aconselhamento é partilhado para download em bugzilla.mozilla.org. A publicação apresenta:

The rust regex crate did not properly prevent crafted regular expressions from taking an arbitrary amount of time during parsing. If an attacker was able to supply input to this crate, they could have caused a denial of service in the browser.

A vulnerabilidade é identificada como CVE-2022-24713. O ataque pode ser feito a partir da rede. Não há detalhes técnicos disponíveis. A vulnerabilidade não é bem conhecida. Não há nenhuma exploração disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora.

Está declarado como não definido. Como 0-day, o preço estimado no mercado negro era cerca de $25k-$100k. O scanner de vulnerabilidade Nessus fornece um plugin com o ID 208650 (CentOS 7 : thunderbird (RHSA-2022:1302)), que ajuda a determinar a existência da falha num ambiente alvo.

A atualização para a versão 91.8 pode solucionar este problema. É recomendado atualizar o componente afetado.

A vulnerabilidade consta ainda em outros bancos de dados de vulnerabilidades: Tenable (208650).

Produtoinformação

Tipo

Fabricante

Nome

Versão

Licença

Site

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 5.9
VulDB Meta Pontuação Temporária: 5.8

VulDB Pontuação Base: 4.3
VulDB Pontuação Temporária: 4.1
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CNA Pontuação Base: 7.5
CNA Vetor (GitHub, Inc.): 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Elevação de Privilégios
CWE: CWE-185 / CWE-697
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Nessus ID: 208650
Nessus Nome: CentOS 7 : thunderbird (RHSA-2022:1302)

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍

Atualização: Thunderbird 91.8
Patch: github.com

Linha do tempoinformação

10/02/2022 🔍
05/04/2022 +53 dias 🔍
05/04/2022 +0 dias 🔍
30/09/2022 +178 dias 🔍
29/04/2025 +942 dias 🔍

Fontesinformação

Fabricante: mozilla.org

Aconselhamento: Bug 1758509
Pessoa: Addison Crump, Jan-Erik Rediger
Estado: Confirmado
Confirmação: 🔍

CVE: CVE-2022-24713 (🔍)
GCVE (CVE): GCVE-0-2022-24713
GCVE (VulDB): GCVE-100-209929

Entradainformação

Criado: 30/09/2022 09h17
Atualizado: 29/04/2025 13h02
Ajustamentos: 30/09/2022 09h17 (18), 30/09/2022 09h20 (28), 26/10/2022 12h13 (3), 26/10/2022 12h21 (19), 26/10/2022 12h28 (1), 10/10/2024 02h22 (16), 29/04/2025 13h02 (3)
Completo: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Discussão

Ainda sem comentários. Idiomas: pt + es + en.

Por favor, inicie sessão para comentar.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!