Vulnerabilidad en Firefox (CVE-2022-46873)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
22/12/2022
Última modificación:
15/04/2025
Descripción
Debido a que Firefox no implementó la directiva CSP unsafe-hashes, un atacante que pudo inyectar marcado en una página protegida por una Política de seguridad de contenido puede haber inyectado un script ejecutable. Esto estaría severamente limitado por la Política de seguridad de contenido especificada en el documento. Esta vulnerabilidad afecta a Firefox < 108.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 108.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.mozilla.org/show_bug.cgi?id=1644790
- https://security.gentoo.org/glsa/202305-06
- https://www.mozilla.org/security/advisories/mfsa2022-51/
- https://bugzilla.mozilla.org/show_bug.cgi?id=1644790
- https://security.gentoo.org/glsa/202305-06
- https://www.mozilla.org/security/advisories/mfsa2022-51/