Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2024-11694)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/11/2024
Última modificación:
24/06/2025

Descripción

Es posible que el modo estricto de Enhanced Tracking Protection haya permitido inadvertidamente una omisión de frame-src de CSP y un XSS basado en DOM a través del complemento SafeFrame de Google en la extensión Web Compatibility. Este problema podría haber expuesto a los usuarios a marcos maliciosos que se hacen pasar por contenido legítimo. Esta vulnerabilidad afecta a Firefox < 133, Firefox ESR < 128.5, Firefox ESR < 115.18, Thunderbird < 133 y Thunderbird < 128.5.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mozilla:firefox:*:*:*:*:esr:*:*:* 115.8.0 (excluyendo)
cpe:2.3:a:mozilla:firefox:*:*:*:*:-:*:*:* 133.0 (excluyendo)
cpe:2.3:a:mozilla:firefox:*:*:*:*:esr:*:*:* 116.0 (incluyendo) 128.5.0 (excluyendo)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:* 115.18.0 (excluyendo)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:* 116.0 (incluyendo) 128.5.0 (excluyendo)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:* 129.0 (incluyendo) 133.0 (excluyendo)