Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-05735

Опубликовано: 13 мая 2025
Источник: fstec
CVSS3: 5.4
CVSS2: 6.4

Описание

Уязвимость почтового клиента Thunderbird связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать произвольные файлы

Вендор

ООО «Ред Софт»
АО «ИВК»
Mozilla Corp.
АО "НППКТ"

Наименование ПО

РЕД ОС
АЛЬТ СП 10
Thunderbird
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
- (АЛЬТ СП 10)
до 128.10.1 (Thunderbird)
до 138.0.1 (Thunderbird)
до 2.13 (ОСОН ОСнова Оnyx)
до 3.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13
АО "НППКТ" ОСОН ОСнова Оnyx до 3.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.mozilla.org/security/advisories/mfsa2025-34/
https://www.mozilla.org/security/advisories/mfsa2025-35/
Обновление программного обеспечения thunderbird до версии 1:128.10.1esr+repack-1~deb11u1.osnova2u1
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства:
https://altsp.su/obnovleniya-bezopasnosti/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения thunderbird до версии 1:140.6.0esr+repack-1~deb12u1.osnova3u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

5.4 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20251008-02

CVSS3: 5.4
redos
6 месяцев назад

Уязвимость thunderbird

ubuntu логотип

CVE-2025-3877

ubuntu
11 месяцев назад

Rejected reason: This CVE was marked as fixed, but due to other code landing - was not actually fixed. It was subsequently fixed in CVE-2025-5986.

nvd логотип

CVE-2025-3877

nvd
11 месяцев назад

Rejected reason: This CVE was marked as fixed, but due to other code landing - was not actually fixed. It was subsequently fixed in CVE-2025-5986.

github логотип

GHSA-69m9-2g5j-9m4h

CVSS3: 7.5
github
11 месяцев назад

A crafted HTML email using mailbox:/// links can trigger automatic, unsolicited downloads of .pdf files to the user's desktop or home directory without prompting, even if auto-saving is disabled. This behavior can be abused to fill the disk with garbage data (e.g. using /dev/urandom on Linux) or to leak Windows credentials via SMB links when the email is viewed in HTML mode. While user interaction is required to download the .pdf file, visual obfuscation can conceal the download trigger. Viewing the email in HTML mode is enough to load external content. This vulnerability affects Thunderbird < 128.10.1 and Thunderbird < 138.0.1.

suse-cvrf логотип

SUSE-SU-2025:01660-2

suse-cvrf
10 месяцев назад

Security update for MozillaThunderbird

5.4 Medium

CVSS3

6.4 Medium

CVSS2