Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-05735

Опубликовано: 13 мая 2025
Источник: fstec
CVSS3: 5.4
CVSS2: 6.4

Описание

Уязвимость почтового клиента Thunderbird связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать произвольные файлы

Вендор

ООО «Ред Софт»
АО «ИВК»
Mozilla Corp.
АО "НППКТ"

Наименование ПО

РЕД ОС
АЛЬТ СП 10
Thunderbird
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
- (АЛЬТ СП 10)
до 128.10.1 (Thunderbird)
до 138.0.1 (Thunderbird)
до 2.13 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.mozilla.org/security/advisories/mfsa2025-34/
https://www.mozilla.org/security/advisories/mfsa2025-35/
Обновление программного обеспечения thunderbird до версии 1:128.10.1esr+repack-1~deb11u1.osnova2u1
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства:
https://altsp.su/obnovleniya-bezopasnosti/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

5.4 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20251008-02

CVSS3: 5.4
redos
27 дней назад

Уязвимость thunderbird

ubuntu логотип

CVE-2025-3877

ubuntu
6 месяцев назад

Rejected reason: This CVE was marked as fixed, but due to other code landing - was not actually fixed. It was subsequently fixed in CVE-2025-5986.

redhat логотип

CVE-2025-3877

CVSS3: 5.4
redhat
6 месяцев назад

The Mozilla Foundation's Security Advisory describes the following issue: A crafted HTML email using mailbox:/// links can trigger automatic, unsolicited downloads of .pdf files to the user's desktop or home directory without prompting, even if auto-saving is disabled. This behavior can be abused to fill the disk with garbage data, such as using /dev/urandom on Linux, or to leak Windows credentials via SMB links when the email is viewed in HTML mode. While user interaction is required to download the .pdf file, visual obfuscation can conceal the download trigger. Viewing the email in HTML mode is enough to load external content.

nvd логотип

CVE-2025-3877

nvd
6 месяцев назад

Rejected reason: This CVE was marked as fixed, but due to other code landing - was not actually fixed. It was subsequently fixed in CVE-2025-5986.

github логотип

GHSA-69m9-2g5j-9m4h

CVSS3: 7.5
github
6 месяцев назад

A crafted HTML email using mailbox:/// links can trigger automatic, unsolicited downloads of .pdf files to the user's desktop or home directory without prompting, even if auto-saving is disabled. This behavior can be abused to fill the disk with garbage data (e.g. using /dev/urandom on Linux) or to leak Windows credentials via SMB links when the email is viewed in HTML mode. While user interaction is required to download the .pdf file, visual obfuscation can conceal the download trigger. Viewing the email in HTML mode is enough to load external content. This vulnerability affects Thunderbird < 128.10.1 and Thunderbird < 138.0.1.

5.4 Medium

CVSS3

6.4 Medium

CVSS2