CVE-2025-6433
CriticalSummary
Podatność CVE-2025-6433 pozwalała na wywołanie wyzwania WebAuthn na stronie z nieprawidłowym certyfikatem TLS, jeśli użytkownik zgodził się na wyjątek. To narusza specyfikację WebAuthN, która wymaga bezbłędnego ustanowienia bezpiecznego transportu.
Risk Assessment
Organizacje mogą być narażone na ataki phishingowe, gdzie użytkownicy mogą być zmuszeni do wykonania nieautoryzowanych operacji, co prowadzi do potencjalnej utraty danych lub kompromitacji kont.
Recommendation
Zaleca się aktualizację przeglądarek Firefox i Thunderbird do wersji 140 lub nowszej, aby usunąć tę podatność oraz monitorowanie użycia WebAuthn w organizacji.
Original NVD description (English source)
If a user visited a webpage with an invalid TLS certificate, and granted an exception, the webpage was able to provide a WebAuthn challenge that the user would be prompted to complete. This is in violation of the WebAuthN spec which requires "a secure transport established without errors". This vulnerability was fixed in Firefox 140 and Thunderbird 140.

