CRITICAL🇬🇧 English

CVE-2025-13022

Nieprawidłowe warunki graniczne w komponencie Graphics: WebGPU przeglądarki Firefox

CVSS 9.8v3.1pub. 2025-11-11upd. 2026-04-13

Podatność w komponencie Graphics: WebGPU przeglądarki Mozilla Firefox i Thunderbird polega na nieprawidłowej obsłudze warunków granicznych. Oceniona jako krytyczna (CVSS 9.8), umożliwia zdalnemu, nieuwierzytelnionemu atakującemu potencjalne przejęcie kontroli nad systemem.

Pokaż oryginał (EN)

Incorrect boundary conditions in the Graphics: WebGPU component. This vulnerability was fixed in Firefox 145 and Thunderbird 145.

🤖 Analiza AI
Jak działa

Błąd dotyczy nieprawidłowego sprawdzania warunków granicznych (incorrect boundary conditions) w komponencie WebGPU odpowiedzialnym za przetwarzanie grafiki. Niepoprawna walidacja granic może prowadzić do nieoczekiwanego zachowania pamięci lub logiki programu. Atakujący może wywołać podatność poprzez spreparowane treści graficzne lub żądania WebGPU dostarczone zdalnie, bez konieczności uwierzytelnienia i interakcji użytkownika.

Skutki

Atakujący może uzyskać pełen dostęp do poufnych danych, naruszać integralność systemu oraz powodować niedostępność aplikacji, co odpowiada ocenie wysokiego wpływu na poufność, integralność i dostępność (C:H/I:H/A:H).

Mitygacja

Należy niezwłocznie zaktualizować Mozilla Firefox do wersji 145 lub nowszej oraz Mozilla Thunderbird do wersji 145 lub nowszej. Szczegóły dostępne w biuletynach bezpieczeństwa Mozilla: mfsa2025-87 oraz mfsa2025-90.

Kogo dotyczy

Mozilla Firefox w wersjach przed 145 oraz Mozilla Thunderbird w wersjach przed 145.

Uwagi

Podatność zgłoszona i naprawiona w Firefox 145 oraz Thunderbird 145, co potwierdza biuletyn bezpieczeństwa Mozilla opublikowany 2025-11-11. Szczegóły techniczne dostępne w zgłoszeniu Bugzilla #1988488.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 145.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...