CVE-2022-26485
CVE-2022-26485
En resumen
Una falla en el manejo de parámetros XSLT permitió a atacantes explotar una vulnerabilidad use-after-free, causando potencialmente bloqueo del navegador o ejecución de código malicioso. El error afectaba múltiples productos Firefox y estaba siendo explotado en ataques reales.
Detalle técnico
Vulnerabilidad use-after-free (CWE-416) en el procesamiento de parámetros XSLT donde la gestión inadecuada de memoria durante la eliminación de parámetros podría ser aprovechada para ejecución arbitraria de código. Vector de ataque remoto requiriendo interacción del usuario; impacta versiones de Firefox, Firefox ESR, Firefox Android, Thunderbird y Focus anteriores a los parches especificados.
Resumen generado y traducido por IA a partir de la descripción oficial.
Removing an XSLT parameter during processing could have lead to an exploitable use-after-free. We have had reports of attacks in the wild abusing this flaw. This vulnerability affects Firefox < 97.0.2, Firefox ESR < 91.6.1, Firefox for Android < 97.3.0, Thunderbird < 91.6.2, and Focus < 97.3.0.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
Mozilla · FirefoxMozilla · Firefox ESRMozilla · Firefox for AndroidMozilla · FocusMozilla · ThunderbirdPoCs públicas encontradas — 1
githubgithub.com/mistymntncop/CVE-2022-26485★ 17⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →