偵測

MiracleLinux 7firefox-128.6.0-1.0.1.el7.AXS7 (AXSA:2025-9585:03)

high Nessus Plugin ID 283392

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 7 主機已安裝一個受到 AXSA:2025-9585:03 公告中所提及的多個弱點影響的套件。

 firefoxthunderbird透過 Web 相容性 Shim 繞過 CSP 繞過和 XSS 曝險 (CVE-2024-11694) firefoxthunderbird在附加元件簽章驗證中未處理的例外狀況 (CVE-2024-11696) firefoxthunderbird選取清單元素可顯示在其他網站上方 (CVE-2024-11692) firefoxthunderbird記憶體安全性錯誤已在 Firefox 133、Thunderbird 133、Firefox ESR 128.5和 Thunderbird 128.5 (CVE-2024-11695CVE-2024-11699)中修正可執行檔案確認對話方塊中的按鍵處理 (CVE-2024-11697) firefox在文字中分行時發生釋放後使用 (CVE-2025-0238) firefox使用 JavaScript 文字分割時發生記憶體損毀 (CVE-2025-0241) firefox重新導向時發生 Alt-Svc ALPN 驗證失敗(CVE-2025-0239) firefox: thunderbird記憶體安全性錯誤已在 Firefox 134、Thunderbird 134、Firefox ESR 128.6和 Thunderbird 中修正 128.6 (CVE-2025-0243) firefox: thunderbird記憶體安全性錯誤已在 Firefox 134、Thunderbird 134、Firefox ESR 中修正 115.19、Firefox ESR 128.6、T hunderbird 115.19和 Thunderbird 128.6 (CVE-2025-0242) firefoxWebChannel API 容易遭受混淆代理人攻擊 (CVE-2025-0237) firefox剖析 JavaScript JSON 模組時區間不相符 (CVE-2025-0240) CVE
 CVE-2024-11692 攻擊者可造成選取下拉式清單顯示在另一個索引標籤上。這可導致使用者混淆及可能的偽造攻擊。此弱點會影響 Firefox < 133、Firefox ESR < 128.5、Thunderbird < 133 和 Thunderbird < 128.5。
 CVE-2024-11694 增強追踪保護的 Strict 模式可能不小心允許了 CSP「frame-src」繞過以及透過 Web 相容性延伸模組中的 Google SafeFrame shim 發生 DOM 型 XSS。此問題可使使用者暴露於偽裝成合法內容的惡意框架之下。此弱點會影響 Firefox < 133、Firefox ESR < 128.5、Firefox ESR < 115.18、Thunderbird < 133、Thunderbird < 128.5和 Thunderbird < 115.18。
 CVE-2024-11695 包含阿拉伯指令碼和空白字元的特製 URL 可隱藏頁面的真實來源進而導致潛在的偽造攻擊。此弱點會影響 Firefox < 133、Firefox ESR < 128.5、Thunderbird < 133 和 Thunderbird < 128.5。
 CVE-2024-11696 應用程式無法考慮 `loadManifestFromFile` 方法在附加元件簽章驗證期間擲回的例外狀況。此瑕疵由無效或不受支援的延伸資訊清單觸發,可造成中斷簽章驗證處理程序的運行時間錯誤。因此,可能已繞過無關附加元件的強制執行簽章驗證。此內容中的簽章驗證用於確保使用者電腦上的第三方應用程式未竄改使用者的延伸模組進而限制此問題的影響。此弱點會影響 Firefox < 133、Firefox ESR < 128.5、Thunderbird < 133 和 Thunderbird < 128.5。
 CVE-2024-11697 當處理 keypress 事件時攻擊者可能誘騙使用者繞過 Open Executable File?確認對話方塊。這可導致惡意程式碼執行。此弱點會影響 Firefox < 133、Firefox ESR < 128.5、Thunderbird < 133 和 Thunderbird < 128.5。
 CVE-2024-11699 Firefox 132、Firefox ESR 128.4和 Thunderbird 128.4中存在記憶體安全性錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox < 133、Firefox ESR < 128.5、Thunderbird < 133 和 Thunderbird < 128.5。
 CVE-2025-0237 用於跨處理程序傳輸各種資訊的 WebChannel API 並未檢查傳送主體而是接受所傳送的主體。這可導致權限提升攻擊。此弱點會影響 Firefox < 134、Firefox ESR < 128.6、Thunderbird < 134 和 Thunderbird < 128.6。
 CVE-2025-0238 假設發生受控制的失敗記憶體配置攻擊者可造成釋放後使用進而導致可能可遭到惡意利用的損毀。此弱點會影響 Firefox < 134、Firefox ESR < 128.6、Firefox ESR < 115.19、Thunderbird < 134 和 Thunderbird < 128.6。
 CVE-2025-0239 當使用 Alt-Svc時原始伺服器重新導向至不安全的網站時ALPN 並未正確驗證憑證。此弱點會影響 Firefox < 134、Firefox ESR < 128.6、Thunderbird < 134 和 Thunderbird < 128.6。
 CVE-2025-0240 在某些情況下將 JavaScript 模組剖析為 JSON 可造成跨區間存取進而可能導致釋放後使用。此弱點會影響 Firefox < 134、Firefox ESR < 128.6、Thunderbird < 134 和 Thunderbird < 128.6。
 CVE-2025-0241 當分割特製的文字時分割會損毀記憶體進而導致可能遭惡意利用的當機。此弱點會影響 Firefox < 134、Firefox ESR < 128.6、Thunderbird < 134 和 Thunderbird < 128.6。
 CVE-2025-0242 Firefox 133、Thunderbird 133、Firefox ESR 115.18、Firefox ESR 128.5、Thunderbird 115.18和 Thunderbird 128.5中存在記憶體安全性錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox < 134、Firefox ESR < 128.6、Firefox ESR < 115.19、Thunderbird < 134 和 Thunderbird < 128.6。
 CVE-2025-0243 Firefox 133、Thunderbird 133、Firefox ESR 128.5和 Thunderbird 128.5中存在記憶體安全性錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox < 134、Firefox ESR < 128.6、Thunderbird < 134 和 Thunderbird < 128.6。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 firefox 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/20769

Plugin 詳細資訊

嚴重性: High

ID: 283392

檔案名稱: miracle_linux_AXSA-2025-9585.nasl

版本: 1.1

類型: local

已發布: 2026/1/13

已更新: 2026/1/13

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.3

Vendor

Vendor Severity: High

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2025-0242

CVSS v3

風險因素: High

基本分數: 7.7

時間性分數: 6.7

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2025-0241

弱點資訊

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:firefox

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2025/1/28

弱點發布日期: 2025/1/7

參考資訊

CVE: CVE-2025-0237, CVE-2025-0238, CVE-2025-0239, CVE-2025-0240, CVE-2025-0241, CVE-2025-0242, CVE-2025-0243