Vulnérabilité dans Mozilla Thunderbird
Date de publication :
CVE-2022-3033[Score CVSS v3.1:8.1]
Une fuite d'informations lors de la composition d'une réponse à un courriel avec une balise d'actualisation META dans Mozilla Thunderbird permet à un attaquant, en persuadant une victime à visiter un site Web spécialement forgé, de porter atteinte à la confidentialité ainsi qu’à l’intégrité des données.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Atteinte à la confidentialité des données
Atteinte à l’intégrité des données
Criticité
Score CVSS v3.1: 8.1
La faille est activement exploitée
Non
Des correctifs existent
Oui
Des mesures de contournement existent
Oui
Les vulnérabilités exploitées sont du type
CWE-200: Exposure of Sensitive Information to an Unauthorized Actor
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Cette vulnérabilité affecte Mozilla Thunderbird en version antérieure à 102.2.1
Solutions ou recommandations
- Mettre à jour Mozilla Thunderbird vers les versions 102.2.1 ou suivantes.
Une mesure de contournement existe :
- Modifier le paramètre d'affichage par défaut du corps du message en HTML simple ou texte brut.