Vulnérabilités dans Mozilla
Date de publication :
CVE-2022-1802[Score CVSS v3.1 : 8.8]
Une pollution de prototype dans l'implémentation Top-Level Await permet à un attaquant distant d’exécuter du code arbitraire sur le système avec des privilèges élevés.
CVE-2022-1529[Score CVSS v3.1 : 8.8]
Une pollution de prototype dans l'indexation des objets JavaScript permet à un attaquant distant d’exécuter du code arbitraire sur le système avec des privilèges élevés.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Elévation de privilèges
Criticité
Score CVSS v3.1: 8.8
La faille est activement exploitée
Non, pour l’ensemble des CVE présentées.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour la CVE-2022-1802
CWE-94: Improper Control of Generation of Code ('Code Injection')
Pour la CVE-2022-1529
CWE-20: Improper Input Validation
Détails sur l’exploitation
Pour l’ensemble des CVE présentées :
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Les produits suivants sont affectés par ces vulnérabilités :
Mozilla Firefox 100
Mozilla Firefox ESR 91.9
Mozilla Firefox for Android 100
Mozilla Thunderbird 91.9
Solutions ou recommandations
Mettre à jour les produits affectés aux versions suivantes :
- Mozilla Firefox 100.0.2
- Mozilla Firefox ESR 91.9.1
- Mozilla Firefox for Android 100.3
- Mozilla Thunderbird 91.9.1