Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2024-9398)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/10/2024
Última modificación:
18/03/2025

Descripción

Al comprobar el resultado de las llamadas a `window.open` con controladores de protocolos configurados específicamente, un atacante podría determinar si la aplicación que implementa ese controlador de protocolo está instalada. Esta vulnerabilidad afecta a Firefox < 131, Firefox ESR < 128.3, Thunderbird < 128.3 y Thunderbird < 131.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* 131.0 (excluyendo)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:* 128.3.0 (excluyendo)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:* 128.3 (excluyendo)
cpe:2.3:a:mozilla:thunderbird:129.0:beta:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:129.0:beta2:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:129.0:beta3:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:129.0:beta4:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:129.0:beta5:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:129.0:beta6:*:*:*:*:*:*