VDB-308909 · CVE-2025-3909 · EUVD-2025-14935

Mozilla Thunderbird até 128.10.0/138.0.0 Header X-Mozilla-External-Attachment-URL Script de Site Cruzado

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
6.1	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade foi encontrada em Mozilla Thunderbird até 128.10.0/138.0.0. Foi classificada como problemático. Afectado é uma função desconhecida do componente Header Handler. O tratamento do parâmetro X-Mozilla-External-Attachment-URL leva a Script de Site Cruzado. A vulnerabilidade é identificada como CVE-2025-3909. É possível lançar o ataque remotamente. Não há nenhuma exploração disponível. Recomenda-se a actualização do componente afectado.

Detalhesinformação

Uma vulnerabilidade foi encontrada em Mozilla Thunderbird até 128.10.0/138.0.0. Foi classificada como problemático. Afectado é uma função desconhecida do componente Header Handler. O tratamento do parâmetro X-Mozilla-External-Attachment-URL leva a Script de Site Cruzado. Usar CWE para declarar o problema leva a CWE-79. O problema foi divulgado. O aconselhamento é partilhado para download em bugzilla.mozilla.org.

A vulnerabilidade é identificada como CVE-2025-3909. A atribuição do CVE aconteceu em 23/04/2025. É possível lançar o ataque remotamente. Os detalhes técnicos estão disponíveis. A vulnerabilidade não é bem conhecida. Não há nenhuma exploração disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O projeto MITRE ATT&CK identifica a técnica de ataque como T1059.007.

Está declarado como não definido. O scanner de vulnerabilidade Nessus fornece um plugin com o ID 236871 (Debian dsa-5921 : thunderbird - security update), que ajuda a determinar a existência da falha num ambiente alvo.

A actualização para a versão 128.10.1 e 138.0.1 é capaz de abordar esta questão. Recomenda-se a actualização do componente afectado.

A vulnerabilidade consta ainda em outros bancos de dados de vulnerabilidades: Tenable (236871).

Afetado

Xerox FreeFlow Print Server

Produtoinformação

Tipo

Mail Client Software

Fabricante

Mozilla

Nome

Thunderbird

Versão

Licença

código aberto

Site

Fabricante: https://www.mozilla.org/

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.2
VulDB Meta Pontuação Temporária: 6.1

VulDB Pontuação Base: 4.3
VulDB Pontuação Temporária: 4.1
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

ADP CISA Pontuação Base: 8.1
ADP CISA Vetor: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Script de Site Cruzado
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍