Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-02315

Опубликовано: 04 фев. 2025
Источник: fstec
CVSS3: 5.4
CVSS2: 6.4
EPSS Средний

Описание

Уязвимость полей адресной книги Address Book URI почтового клиента Thunderbird, Thunderbird ESR связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный JavaScript-код

Вендор

Mozilla Corp.
АО "НППКТ"

Наименование ПО

Thunderbird
ОСОН ОСнова Оnyx

Версия ПО

до 128.7 (Thunderbird)
до 2.13 (ОСОН ОСнова Оnyx)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.mozilla.org/en-US/security/advisories/mfsa2025-10/
Обновление программного обеспечения thunderbird до версии 1:128.10.1esr+repack-1~deb11u1.osnova2u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.29141
Средний

5.4 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-1015

CVSS3: 5.4
ubuntu
4 месяца назад

The Thunderbird Address Book URI fields contained unsanitized links. This could be used by an attacker to create and export an address book containing a malicious payload in a field. For example, in the “Other” field of the Instant Messaging section. If another user imported the address book, clicking on the link could result in opening a web page inside Thunderbird, and that page could execute (unprivileged) JavaScript. This vulnerability affects Thunderbird < 128.7 and Thunderbird < 135.

redhat логотип

CVE-2025-1015

CVSS3: 5.4
redhat
4 месяца назад

The Thunderbird Address Book URI fields contained unsanitized links. This could be used by an attacker to create and export an address book containing a malicious payload in a field. For example, in the “Other” field of the Instant Messaging section. If another user imported the address book, clicking on the link could result in opening a web page inside Thunderbird, and that page could execute (unprivileged) JavaScript. This vulnerability affects Thunderbird < 128.7 and Thunderbird < 135.

nvd логотип

CVE-2025-1015

CVSS3: 5.4
nvd
4 месяца назад

The Thunderbird Address Book URI fields contained unsanitized links. This could be used by an attacker to create and export an address book containing a malicious payload in a field. For example, in the “Other” field of the Instant Messaging section. If another user imported the address book, clicking on the link could result in opening a web page inside Thunderbird, and that page could execute (unprivileged) JavaScript. This vulnerability affects Thunderbird < 128.7 and Thunderbird < 135.

debian логотип

CVE-2025-1015

CVSS3: 5.4
debian
4 месяца назад

The Thunderbird Address Book URI fields contained unsanitized links. T ...

github логотип

GHSA-w5j5-j57f-hp27

CVSS3: 5.4
github
4 месяца назад

The Thunderbird Address Book URI fields contained unsanitized links. This could be used by an attacker to create and export an address book containing a malicious payload in a field. For example, in the “Other” field of the Instant Messaging section. If another user imported the address book, clicking on the link could result in opening a web page inside Thunderbird, and that page could execute (unprivileged) JavaScript. This vulnerability affects Thunderbird < 128.7.

EPSS

Процентиль: 96%
0.29141
Средний

5.4 Medium

CVSS3

6.4 Medium

CVSS2