CRITICAL🇬🇧 English

CVE-2025-8031

Wyciek danych uwierzytelniających HTTP Basic Auth przez raporty CSP w Firefox i Thunderbird

CVSS 9.8v3.1pub. 2025-07-22upd. 2026-04-13

Podatność w Mozilla Firefox i Thunderbird powoduje, że dane uwierzytelniające HTTP Basic Authentication (nazwa użytkownika i hasło) zawarte w URL mogą być nieumyślnie ujawniane poprzez raporty Content Security Policy (CSP). Błąd klasyfikowany jest jako krytyczny ze względu na potencjalny wyciek wrażliwych danych logowania.

Pokaż oryginał (EN)

The `username:password` part was not correctly stripped from URLs in CSP reports potentially leaking HTTP Basic Authentication credentials. This vulnerability was fixed in Firefox 141, Firefox ESR 128.13, Firefox ESR 140.1, Thunderbird 141, Thunderbird 128.13, and Thunderbird 140.1.

🤖 Analiza AI
Jak działa

Przeglądarka lub klient poczty powinna usuwać fragment `username:password` z adresów URL przed ich dołączeniem do raportów CSP wysyłanych do serwera. W podatnych wersjach mechanizm ten nie działał poprawnie, przez co pełny URL zawierający dane uwierzytelniające był zapisywany i przesyłany w treści raportu CSP. Atakujący kontrolujący punkt odbioru raportów CSP lub mający możliwość ich przechwycenia mógłby odczytać te dane.

Skutki

Atakujący może uzyskać dane uwierzytelniające HTTP Basic Authentication (login i hasło) użytkownika, co może prowadzić do przejęcia kont i nieautoryzowanego dostępu do chronionych zasobów.

Mitygacja

Należy zaktualizować do Firefox 141, Firefox ESR 128.13 lub Firefox ESR 140.1 oraz Thunderbird 141, Thunderbird 128.13 lub Thunderbird 140.1, w których podatność została naprawiona.

Kogo dotyczy

Mozilla Firefox przed wersją 141 i Firefox ESR przed wersjami 128.13 oraz 140.1; Mozilla Thunderbird przed wersją 141 i Thunderbird ESR przed wersjami 128.13 oraz 140.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 128.13.0< 141.0140.0 – 140.1.0 (bez)
  • Mozilla Thunderbird

    APP
    Mozilla
    < 128.13.0< 141.0140.0 – 140.1.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...