阿里云漏洞库

高危 Mozilla Firefox 输入验证错误漏洞

CVE编号

CVE-2021-38492

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-11-03

漏洞描述

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。

Mozilla Firefox 中存在输入验证错误漏洞，该漏洞源于产品在将导航委托给操作系统时，对用户提供的输入的验证不足。远程攻击者可通过改漏洞绕过已实现的安全限制。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://bugzilla.mozilla.org/show_bug.cgi?id=1721107
https://security.gentoo.org/glsa/202208-14
https://www.mozilla.org/security/advisories/mfsa2021-38/
https://www.mozilla.org/security/advisories/mfsa2021-39/
https://www.mozilla.org/security/advisories/mfsa2021-40/
https://www.mozilla.org/security/advisories/mfsa2021-41/
https://www.mozilla.org/security/advisories/mfsa2021-42/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	mozilla	firefox	*		Up to (excluding) 92.0
	运行在以下环境
	应用	mozilla	firefox_esr	*		Up to (excluding) 78.14
	运行在以下环境
	应用	mozilla	firefox_esr	*	From (including) 91.0	Up to (excluding) 91.1
	运行在以下环境
	应用	mozilla	thunderbird	*		Up to (excluding) 78.14
	运行在以下环境
	应用	mozilla	thunderbird	*	From (including) 91.0	Up to (excluding) 91.1
	运行在以下环境
	系统	alpine_3.13	firefox-esr	*		Up to (excluding) 78.14.0-r0
	运行在以下环境
	系统	alpine_3.14	firefox-esr	*		Up to (excluding) 78.14.0-r0
	运行在以下环境
	系统	alpine_3.15	firefox	*		Up to (excluding) 92.0.1-r0
	运行在以下环境
	系统	alpine_3.16	firefox	*		Up to (excluding) 92.0.1-r0
	运行在以下环境
	系统	alpine_3.17	firefox	*		Up to (excluding) 92.0.1-r0
	运行在以下环境
	系统	alpine_3.18	firefox	*		Up to (excluding) 92.0.1-r0
	运行在以下环境
	系统	alpine_3.19	firefox	*		Up to (excluding) 92.0.1-r0
	运行在以下环境
	系统	debian_10	firefox-esr	*		Up to (excluding) 115.7.0esr-1~deb10u1
	运行在以下环境
	系统	debian_11	firefox-esr	*		Up to (excluding) 115.7.0esr-1~deb11u1
	运行在以下环境
	系统	debian_12	firefox-esr	*		Up to (excluding) 115.7.0esr-1~deb12u1
	运行在以下环境
	系统	opensuse_Leap_15.2	rust-cbindgen	*		Up to (excluding) 91.2.0-lp152.2.67.1
	运行在以下环境
	系统	opensuse_Leap_15.3	rust-cbindgen	*		Up to (excluding) 0.19.0-1.9.1
	运行在以下环境
	系统	suse_12_SP5	MozillaFirefox	*		Up to (excluding) 91.9.0-112.104.1

攻击路径

本地
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
NVD-CWE-noinfo