CRITICAL🇬🇧 English

CVE-2025-13021

Nieprawidłowe warunki graniczne w komponencie WebGPU przeglądarki Firefox

CVSS 9.8v3.1pub. 2025-11-11upd. 2026-04-13

Podatność krytyczna w komponencie Graphics: WebGPU przeglądarki Mozilla Firefox wynika z nieprawidłowej obsługi warunków granicznych. Błąd może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu bez konieczności jakiejkolwiek interakcji użytkownika.

Pokaż oryginał (EN)

Incorrect boundary conditions in the Graphics: WebGPU component. This vulnerability was fixed in Firefox 145 and Thunderbird 145.

🤖 Analiza AI
Jak działa

Komponent WebGPU odpowiada za obsługę grafiki i akceleracji sprzętowej GPU w przeglądarce. W wyniku nieprawidłowo zdefiniowanych warunków granicznych (CWE-703 — nieprawidłowa obsługa wyjątków lub warunków błędu) specjalnie spreparowana zawartość graficzna może wywołać nieoczekiwane zachowanie podczas przetwarzania danych przez silnik WebGPU. Atakujący może dostarczyć złośliwą zawartość przez sieć bez konieczności uwierzytelnienia ani interakcji ze strony ofiary, co czyni podatność szczególnie niebezpieczną.

Skutki

Udane wykorzystanie podatności może umożliwić atakującemu zdalne wykonanie kodu (RCE) w kontekście procesu przeglądarki, a w konsekwencji uzyskanie pełnej kontroli nad zaatakowanym systemem — naruszając jego poufność, integralność i dostępność.

Mitygacja

Należy niezwłocznie zaktualizować przeglądarkę Mozilla Firefox do wersji 145 lub nowszej oraz klienta pocztowego Mozilla Thunderbird do wersji 145 lub nowszej. Patche są dostępne w oficjalnych kanałach dystrybucji Mozilla.

Kogo dotyczy

Mozilla Firefox w wersjach poprzedzających Firefox 145 oraz Mozilla Thunderbird w wersjach poprzedzających Thunderbird 145.

Uwagi

Podatność dotyczy również klienta pocztowego Mozilla Thunderbird 145, co zostało wskazane w referencjach producenta (mfsa2025-90). Szczegóły techniczne dostępne w systemie Mozilla Bugzilla pod numerem 1986431.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 145.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...