CRITICAL🇬🇧 English

CVE-2025-54145

Firefox iOS: otwarcie dowolnej strony przez skaner QR (URL scheme)

CVSS 9.1v3.1pub. 2025-08-19upd. 2026-04-13

Skaner kodów QR w przeglądarce Firefox dla systemu iOS może zostać wykorzystany do otwarcia dowolnej strony internetowej, jeśli użytkownik zostanie nakłoniony do zeskanowania złośliwego kodu QR wykorzystującego otwarty schemat URL Firefox. Podatność umożliwia przeprowadzenie ataku typu open redirect, co może prowadzić do phishingu lub innych działań szkodliwych.

Pokaż oryginał (EN)

The QR scanner could allow arbitrary websites to be opened if a user was tricked into scanning a malicious link that leveraged Firefox's open-text URL scheme. This vulnerability was fixed in Firefox for iOS 141.

🤖 Analiza AI
Jak działa

Atakujący tworzy złośliwy kod QR zawierający link oparty na otwartym schemacie URL obsługiwanym przez Firefox (open-text URL scheme). Gdy użytkownik zeskanuje taki kod przy użyciu wbudowanego skanera QR w przeglądarce Firefox dla iOS, aplikacja otwiera wskazany przez atakującego adres bez odpowiedniej weryfikacji jego bezpieczeństwa. Mechanizm ten jest klasycznym przykładem podatności CWE-601 (URL Redirection to Untrusted Site), gdzie zaufany komponent aplikacji zostaje wykorzystany do przekierowania ofiary na zewnętrzną, potencjalnie szkodliwą stronę.

Skutki

Atakujący może nakłonić użytkownika do odwiedzenia dowolnej, złośliwej strony internetowej, co w praktyce umożliwia przeprowadzenie ataków phishingowych, kradzież danych uwierzytelniających lub dystrybucję złośliwego oprogramowania.

Mitygacja

Należy zaktualizować Firefox dla iOS do wersji 141 lub nowszej, w której podatność została naprawiona. Aktualizacja dostępna jest za pośrednictwem Apple App Store.

Kogo dotyczy

Mozilla Firefox dla systemu iOS w wersjach wcześniejszych niż 141

Uwagi

Podatność dotyczy wyłącznie wersji Firefox przeznaczonej na platformę iOS — nie wpływa na wersje desktopowe ani Firefox dla systemu Android. Poprawka została uwzględniona w Firefox for iOS 141.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Mozilla Firefox

    APP
    Mozilla
    < 141.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...

CVE-2025-54145 — Firefox iOS: otwarcie dowolnej strony przez skaner QR (URL scheme) — CRITICAL 9.1 | CVEbaza.pl