Podatność w komponencie Networking: HTTP produktów Mozilla Firefox i Thunderbird umożliwia ominięcie istniejących mechanizmów ochronnych (mitigation bypass). Oceniona jako krytyczna z wynikiem CVSS 9.8, może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu bez wymagania jakiegokolwiek uwierzytelnienia.
▸ Pokaż oryginał (EN)
Mitigation bypass in the Networking: HTTP component. This vulnerability was fixed in Firefox 149, Firefox ESR 140.9, Thunderbird 149, and Thunderbird 140.9.
Podatność sklasyfikowana jako CWE-288 wskazuje na obejście mechanizmu uwierzytelniania lub kontroli dostępu za pomocą alternatywnej ścieżki lub kanału w komponencie obsługi protokołu HTTP. Atakujący zdalny, nieuwierzytelniony użytkownik może ominąć istniejące zabezpieczenia sieciowe wdrożone w warstwie HTTP przeglądarki lub klienta pocztowego. Wektor ataku sieciowy (AV:N) przy braku wymagań dotyczących uprawnień (PR:N) i interakcji użytkownika (UI:N) oznacza, że exploit może być przeprowadzony w pełni zdalnie i automatycznie.
Skuteczne wykorzystanie podatności może dać atakującemu pełną kontrolę nad atakowanym systemem, skutkując ujawnieniem poufnych danych, modyfikacją zasobów oraz zakłóceniem dostępności usług (wysokie wskaźniki C:H/I:H/A:H w CVSS).
Należy niezwłocznie zaktualizować do wersji Firefox 149, Firefox ESR 140.9, Thunderbird 149 lub Thunderbird 140.9, w których podatność została naprawiona. Patche dostępne są na oficjalnych stronach producenta oraz opisane w poradnikach bezpieczeństwa Mozilla (MFSA2026-20, MFSA2026-22, MFSA2026-23, MFSA2026-24).
Mozilla Firefox w wersjach przed 149, Mozilla Firefox ESR w wersjach przed 140.9, Mozilla Thunderbird w wersjach przed 149 oraz Mozilla Thunderbird ESR w wersjach przed 140.9.
Podatność naprawiona jednocześnie w czterech wydaniach: Firefox 149, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9, co sugeruje szerokie oddziaływanie na całą rodzinę produktów Mozilla. Brak szczegółowego opisu technicznego w oficjalnym komunikacie ogranicza możliwość dokładnej oceny mechanizmu ataku.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMozilla Firefox
APPMozilla< 140.9.0< 149.0
Powiązane podatności
Use-after-free w Animation timelines Firefox/Thunderbird — RCE
An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...
Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...
Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...
Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...