CVE-2022-26485
CVE-2022-26485
Em resumo
Uma falha no processamento de parâmetros XSLT permitia que atacantes explorassem uma vulnerabilidade use-after-free, podendo causar travamento do navegador ou execução de código malicioso. O bug afetava múltiplos produtos Firefox e estava sendo explorado em ataques reais.
Detalhe técnico
Vulnerabilidade use-after-free (CWE-416) no processamento de parâmetros XSLT onde o gerenciamento inadequado de memória durante a remoção de parâmetros poderia ser aproveitado para execução arbitrária de código. Vetor de ataque remoto requerendo interação do usuário; afeta versões de Firefox, Firefox ESR, Firefox Android, Thunderbird e Focus anteriores aos patches especificados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Removing an XSLT parameter during processing could have lead to an exploitable use-after-free. We have had reports of attacks in the wild abusing this flaw. This vulnerability affects Firefox < 97.0.2, Firefox ESR < 91.6.1, Firefox for Android < 97.3.0, Thunderbird < 91.6.2, and Focus < 97.3.0.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
Mozilla · FirefoxMozilla · Firefox ESRMozilla · Firefox for AndroidMozilla · FocusMozilla · ThunderbirdPoCs públicas encontradas — 1
githubgithub.com/mistymntncop/CVE-2022-26485★ 17⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →