CVE-2020-27748
CVE-2020-27748
Em resumo
Uma falha no xdg-email permite que atacantes adicionem secretamente arquivos anexados a e-mails através de links mailto: especialmente preparados. Se um usuário clicar nesse link e enviar o e-mail sem perceber o anexo oculto, arquivos sensíveis podem ser divulgados involuntariamente.
Detalhe técnico
O xdg-email trata inadequadamente URIs mailto: permitindo que arquivos arbitrários sejam injetados como anexos via parâmetros da URI ao abrir o Thunderbird. Um atacante pode construir um link mailto: malicioso que, ao ser clicado, anexa silenciosamente arquivos sensíveis a um novo rascunho de e-mail, resultando em divulgação de informações se o usuário enviar sem verificar os anexos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A flaw was found in the xdg-email component of xdg-utils-1.1.0-rc1 and newer. When handling mailto: URIs, xdg-email allows attachments to be discreetly added via the URI when being passed to Thunderbird. An attacker could potentially send a victim a URI that automatically attaches a sensitive file to a new email. If a victim user does not notice that an attachment was added and sends the email, this could result in sensitive information disclosure. It has been confirmed that the code behind this issue is in xdg-email and not in Thunderbird.
Produtos afetados
n/a · xdg-utilsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →