Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-38472

Опубликовано: 22 дек. 2022
Источник: nvd
CVSS3: 6.5
EPSS Низкий

Уязвимость в обработке ошибок XSLT, позволяющая осуществить подмену содержимого в Mozilla Thunderbird и Firefox

Описание

Злоумышленник может использовать обработку ошибок XSLT, чтобы связать подконтрольное ему содержимое с другим адресом, который отображается в адресной строке. Это позволяет обмануть пользователя и заставить его отправить данные, предназначенные для подмененного адреса.

Затронутые версии ПО

  • Mozilla Thunderbird до версии 102.2
  • Mozilla Thunderbird до версии 91.13
  • Firefox ESR до версии 91.13
  • Firefox ESR до версии 102.2
  • Firefox до версии 104

Тип уязвимости

  • Подмена содержимого
  • Обман пользователя

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 104.0 (исключая)
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия от 102.0 (включая) до 102.2 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 91.13 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия от 102.0 (включая) до 102.2 (исключая)

EPSS

Процентиль: 36%
0.00143
Низкий

6.5 Medium

CVSS3

Дефекты

CWE-346
CWE-346

Связанные уязвимости

ubuntu логотип

CVE-2022-38472

CVSS3: 6.5
ubuntu
больше 2 лет назад

An attacker could have abused XSLT error handling to associate attacker-controlled content with another origin which was displayed in the address bar. This could have been used to fool the user into submitting data intended for the spoofed origin. This vulnerability affects Thunderbird < 102.2, Thunderbird < 91.13, Firefox ESR < 91.13, Firefox ESR < 102.2, and Firefox < 104.

redhat логотип

CVE-2022-38472

CVSS3: 7.5
redhat
почти 3 года назад

An attacker could have abused XSLT error handling to associate attacker-controlled content with another origin which was displayed in the address bar. This could have been used to fool the user into submitting data intended for the spoofed origin. This vulnerability affects Thunderbird < 102.2, Thunderbird < 91.13, Firefox ESR < 91.13, Firefox ESR < 102.2, and Firefox < 104.

debian логотип

CVE-2022-38472

CVSS3: 6.5
debian
больше 2 лет назад

An attacker could have abused XSLT error handling to associate attacke ...

github логотип

GHSA-rr53-g8m7-wrvf

CVSS3: 6.5
github
больше 2 лет назад

An attacker could have abused XSLT error handling to associate attacker-controlled content with another origin which was displayed in the address bar. This could have been used to fool the user into submitting data intended for the spoofed origin. This vulnerability affects Thunderbird < 102.2, Thunderbird < 91.13, Firefox ESR < 91.13, Firefox ESR < 102.2, and Firefox < 104.

fstec логотип

BDU:2022-05566

CVSS3: 7.5
fstec
почти 3 года назад

Уязвимость реализации технологии XSLT (eXtensible Stylesheet Language Transformations) браузера Firefox и почтового клиента Thunderbirds, позволяющая нарушителю проводить спуфинг-атаки

EPSS

Процентиль: 36%
0.00143
Низкий

6.5 Medium

CVSS3

Дефекты

CWE-346
CWE-346