Vulnérabilité dans Mozilla
Date de publication :
CVE-2021-29991[Score CVSS v3.1: 8.1 ]
Une vulnérabilité aux attaques par fractionnement d’en-têtes a été découverte sur Mozilla Firefox et Mozilla Thunderbird. Son exploitation peut permettre à un attaquant distant non authentifié de contourner les restrictions d'accès aux données via HTTP/3 Responses Header Splitting et d'obtenir des informations sensibles.
Cette vulnérabilité s’explique par le fait que le logiciel accepte à tort une nouvelle ligne dans un en-tête HTTP/3 en l'interprétant comme deux en-têtes distincts.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Accès illégitime à des informations
Criticité
- Score CVSS v3 : 8.1
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Mozilla Firefox: 80.0, 80.0.1, 81.0, 81.0.1, 81.0.2, 82.0, 82.0.1, 82.0.2, 82.0.3, 83.0, 84.0, 84.0.1, 84.0.2, 85.0, 85.0.1, 85.0.2, 86.0, 86.0.1, 87.0, 88.0, 88.0.1, 89.0, 89.0.1, 89.0.2, 90.0, 90.0.1, 90.0.2, 91.0
- Mozilla Thunderbird: 91.0
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les composants conformément aux instructions de l’éditeur (Firefox 91.0.1 et Thunderbird 91.0.1).
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.