CRITICAL🇬🇧 English

CVE-2026-2806

Niezainicjowana pamięć w komponencie Graphics: Text — Mozilla Firefox i Thunderbird

CVSS 9.1v3.1pub. 2026-02-24upd. 2026-04-13

Podatność dotyczy niezainicjowanej pamięci w komponencie obsługi tekstu graficznego (Graphics: Text) w przeglądarkach Mozilla Firefox oraz Mozilla Thunderbird. Sklasyfikowana jako CRITICAL z wynikiem CVSS 9.1, może prowadzić do ujawnienia poufnych danych lub powodować niedostępność aplikacji bez konieczności uwierzytelnienia.

Pokaż oryginał (EN)

Uninitialized memory in the Graphics: Text component. This vulnerability was fixed in Firefox 148 and Thunderbird 148.

🤖 Analiza AI
Jak działa

Podatność wynika z użycia niezainicjowanej pamięci (CWE-908, CWE-457) w komponencie Graphics: Text. Gdy aplikacja odczytuje dane z obszarów pamięci, które nie zostały prawidłowo zainicjowane przed użyciem, atakujący może potencjalnie uzyskać dostęp do wrażliwych danych przechowywanych w tej pamięci lub wywołać niestabilne zachowanie aplikacji. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika, co znacząco zwiększa ryzyko eksploatacji.

Skutki

Atakujący może zdalnie uzyskać dostęp do poufnych danych przechowywanych w niezainicjowanych obszarach pamięci (naruszenie poufności) oraz spowodować niedostępność aplikacji (naruszenie dostępności).

Mitygacja

Należy zaktualizować Mozilla Firefox do wersji 148 lub nowszej oraz Mozilla Thunderbird do wersji 148 lub nowszej. Patche dostępne są za pośrednictwem mechanizmu automatycznych aktualizacji producenta oraz w referencjach pod adresami mfsa2026-13 i mfsa2026-16.

Kogo dotyczy

Mozilla Firefox w wersjach przed 148 oraz Mozilla Thunderbird w wersjach przed 148.

Uwagi

Szczegóły techniczne podatności dostępne są w zgłoszeniu Mozilla Bugzilla o numerze 2006199.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 148.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 148.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...