Количество 25
Количество 25
CVE-2025-3522
Thunderbird processes the X-Mozilla-External-Attachment-URL header to ...
GHSA-78fw-w53r-pgwg
Thunderbird processes the X-Mozilla-External-Attachment-URL header to handle attachments which can be hosted externally. When an email is opened, Thunderbird accesses the specified URL to determine file size, and navigates to it when the user clicks the attachment. Because the URL is not validated or sanitized, it can reference internal resources like chrome:// or SMB share file:// links, potentially leading to hashed Windows credential leakage and opening the door to more serious security issues. This vulnerability affects Thunderbird < 137.0.2 and Thunderbird < 128.9.2.
GHSA-4h7q-pj8m-5675
When an email contains multiple attachments with external links via the X-Mozilla-External-Attachment-URL header, only the last link is shown when hovering over any attachment. Although the correct link is used on click, the misleading hover text could trick users into downloading content from untrusted sources. This vulnerability affects Thunderbird < 137.0.2 and Thunderbird < 128.9.2.
BDU:2025-07589
Уязвимость почтового клиента Thunderbird, связанная с ошибками представления информации пользовательским интерфейсом, позволяющая нарушителю проводить спуфинг атаки
BDU:2025-06555
Уязвимость почтового клиента Thunderbird, связанная с переадресацией URL на ненадежный сайт, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано | |
|---|---|---|---|---|
| CVE-2025-3522 Thunderbird processes the X-Mozilla-External-Attachment-URL header to ... | CVSS3: 6.3 | 0% Низкий | 7 месяцев назад |
| GHSA-78fw-w53r-pgwg Thunderbird processes the X-Mozilla-External-Attachment-URL header to handle attachments which can be hosted externally. When an email is opened, Thunderbird accesses the specified URL to determine file size, and navigates to it when the user clicks the attachment. Because the URL is not validated or sanitized, it can reference internal resources like chrome:// or SMB share file:// links, potentially leading to hashed Windows credential leakage and opening the door to more serious security issues. This vulnerability affects Thunderbird < 137.0.2 and Thunderbird < 128.9.2. | CVSS3: 6.3 | 0% Низкий | 7 месяцев назад |
| GHSA-4h7q-pj8m-5675 When an email contains multiple attachments with external links via the X-Mozilla-External-Attachment-URL header, only the last link is shown when hovering over any attachment. Although the correct link is used on click, the misleading hover text could trick users into downloading content from untrusted sources. This vulnerability affects Thunderbird < 137.0.2 and Thunderbird < 128.9.2. | CVSS3: 6.4 | 0% Низкий | 7 месяцев назад |
 | BDU:2025-07589 Уязвимость почтового клиента Thunderbird, связанная с ошибками представления информации пользовательским интерфейсом, позволяющая нарушителю проводить спуфинг атаки | CVSS3: 6.4 | 0% Низкий | 7 месяцев назад |
| BDU:2025-06555 Уязвимость почтового клиента Thunderbird, связанная с переадресацией URL на ненадежный сайт, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес | CVSS3: 6.3 | 0% Низкий | 7 месяцев назад |
Уязвимостей на страницу