CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2010-3765

CVSS 9.8v3.1pub. 2010-10-28upd. 2026-04-22

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before 3.0.10, and SeaMonkey 2.x before 2.0.10, when JavaScript is enabled, allows remote attackers to execute arbitrary code via vectors related to nsCSSFrameConstructor::ContentAppended, the appendChild method, incorrect index tracking, and the creation of multiple frames, which triggers memory corruption, as exploited in the wild in October 2010 by the Belmoo malware.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    3.53.5.13.5.103.5.113.5.123.5.133.5.143.5.23.5.33.5.43.5.53.5.63.5.73.5.83.5.9+ 10 więcej
  • Mozilla Seamonkey

    APP
    Mozilla
    2.02.0.12.0.22.0.32.0.42.0.52.0.62.0.72.0.82.0.9
  • Mozilla Thunderbird

    APP
    Mozilla
    3.0.13.0.23.0.33.0.43.0.53.0.63.0.73.0.83.0.93.1.13.1.23.1.33.1.43.1.5

CISA KEV — szczegółyi

Dostawcai
Mozilla
Produkti
Multiple Products
Data dodania do KEVi
6 października 2025
Termin remediation (USA)i
27 października 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Mozilla Firefox, SeaMonkey i Thunderbird zawierają niezidentyfikowaną lukę, gdy JavaScript jest włączony. Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu poprzez wektory związane z nsCSSFrameConstructor::ContentAppended, metodą appendChild, nieprawidłowym śledzeniem indeksu i tworzeniem wielu ramek, co powoduje uszkodzenie pamięci.

tłumaczenie AI
Pokaż oryginał (EN)

Mozilla Firefox, SeaMonkey, and Thunderbird contain an unspecified vulnerability when JavaScript is enabled. This allows remote attackers to execute arbitrary code via vectors related to nsCSSFrameConstructor::ContentAppended, the appendChild method, incorrect index tracking, and the creation of multiple frames, which triggers memory corruption.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 27 października 2025
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...

CVE-2026-12293CRITICAL9.8ten sam produkt

Use-after-free in the Graphics: WebGPU component. This vulnerability was fixed in Firefox 152 and Thunderbird ...