Vulnerabilidad en Thunderbird (CVE-2022-1834)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-295 Validación incorrecta de certificados

Fecha de publicación:

22/12/2022

Última modificación:

16/04/2025

Descripción

Al mostrar el remitente de un correo electrónico y el nombre del remitente contenía el carácter de espacio en blanco del patrón Braille varias veces, Thunderbird habría mostrado todos los espacios. Un atacante podría haberlo utilizado para enviar un mensaje de correo electrónico con su firma digital, que se mostraba con una dirección de correo electrónico de remitente arbitraria elegida por el atacante. Si el nombre del remitente comenzaba con una dirección de correo electrónico falsa, seguida de muchos caracteres de espacio en Braille, la dirección de correo electrónico del atacante no era visible. Debido a que Thunderbird comparó la dirección del remitente invisible con la dirección de correo electrónico de la firma, si Thunderbird aceptaba la clave de firma o el certificado, se mostraba que el correo electrónico tenía una firma digital válida. Esta vulnerabilidad afecta a Thunderbird &lt; 91.10.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno