リモートの CentOS Linux 7 ホストにインストールされているパッケージは、RHSA-2023:0456 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - 古いライブラリ (libusrsctp) に、悪用される可能性のある脆弱性が含まれていました。この脆弱性の影響を受けるのは、Firefox < 108 です。(CVE-2022-46871)

  - ブラウザを混乱させることで、フルスクリーン通知が遅延または抑制され、ユーザーの混乱やなりすまし攻撃が発生する可能性があります。この脆弱性の影響を受けるのは、Firefox < 108 です。(CVE-2022-46877)

  - Firefox GTK ラッパーコードがドラッグデータの text/plain を使用し、GTK がファイル URL を含むすべての text/plain MIME をドラッグされているものとして処理するため、<code>DataTransfer.setData</code> の呼び出しにより、Web サイトがファイルを任意に読み取る可能性があります。この脆弱性の影響を受けるのは、Firefox < 109、Thunderbird < 102.7、および Firefox ESR < 102.7 です。(CVE-2023-23598)

  - 開発者ツールパネルからネットワークリクエストを curl コマンドとしてコピーすると、出力が適切にサニタイズされず、任意のコマンドが内部で非表示になる可能性があります。この脆弱性の影響を受けるのは、Firefox < 109、Thunderbird < 102.7、および Firefox ESR < 102.7 です。(CVE-2023-23599)

  - クロスオリジンの iframe から同じタブに URL をドラッグすると、ナビゲーションが許可が許可されていました。これにより、Web サイトのなりすまし攻撃が引き起こされる可能性があります。この脆弱性の影響を受けるのは、Firefox < 109、Thunderbird < 102.7、および Firefox ESR < 102.7 です。(CVE-2023-23601)

  - WebWorker で WebSocket を作成する際にセキュリティチェックが不適切に処理されるため、Content Security Policy の connect-src ヘッダーが無視されていました。これにより、WebWorkers 内部から制限されたオリジンへの接続が発生する可能性があります。この脆弱性の影響を受けるのは、Firefox < 109、Thunderbird < 102.7、および Firefox ESR < 102.7 です。
    (CVE-2023-23602)

  - <code>console.log</code> への呼び出しで、禁止されているプロパティと値をフィルターするために使用される正規表現が、外部 URL を考慮していませんでした。その後、データがブラウザから漏洩する可能性があります。この脆弱性の影響を受けるのは、Firefox < 109、Thunderbird < 102.7、および Firefox ESR < 102.7 です。
    (CVE-2023-23603)

  - Firefox 108 および Firefox ESR 102.6 に存在するメモリの安全性のバグ。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。この脆弱性の影響を受けるのは、Firefox < 109、Thunderbird < 102.7、および Firefox ESR < 102.7 です。
    (CVE-2023-23605)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

CentOS 7 : thunderbird (RHSA-2023:0456)

high Nessus プラグイン ID 170858

バージョン 1.5

バージョン 1.3

バージョン 1.2

バージョン 1.2

バージョン 1.1

バージョン 1.0

バージョン 1.5 Dec 19, 2025, 11:15 AM CVSSv2 score source (changed from "CVE-2023-23605" to "CVE-2022-46871") CVSSv3 score source (set to "CVE-2023-23605") Exploit attributes ("Exploit available" set to "False") Plugin Feed: 202512191115
バージョン 1.3 Dec 22, 2023, 7:23 PM Detection (updated detection logic) Plugin metadata Plugin Feed: 202312221923
バージョン 1.2 Oct 24, 2023, 4:27 PM CVSSv2 score source (changed from "CVE-2022-46871" to "CVE-2023-23605") Plugin Feed: 202310241627
バージョン 1.2 Dec 22, 2023, 5:21 PM Detection (updated detection logic) Plugin metadata Plugin Feed: 202312221721
バージョン 1.1 Feb 3, 2023, 2:05 PM IAVM reference Plugin Feed: 202302031405
バージョン 1.0 Jan 31, 2023, 3:55 AM New Plugin Feed: 202301310355