CRITICAL🇬🇧 English

CVE-2026-4705

Niezdefiniowane zachowanie w komponencie WebRTC Signaling w Mozilla Firefox

CVSS 9.8v3.1pub. 2026-03-24upd. 2026-04-13

Podatność krytyczna (CVSS 9.8) w komponencie WebRTC: Signaling przeglądarki Mozilla Firefox oraz klienta pocztowego Thunderbird. Umożliwia zdalnemu atakującemu bez uwierzytelnienia wykonanie potencjalnie groźnych operacji poprzez sieć.

Pokaż oryginał (EN)

Undefined behavior in the WebRTC: Signaling component. This vulnerability was fixed in Firefox 149, Firefox ESR 140.9, Thunderbird 149, and Thunderbird 140.9.

🤖 Analiza AI
Jak działa

Podatność wynika z niezdefiniowanego zachowania (undefined behavior) w komponencie odpowiedzialnym za sygnalizację WebRTC. Niezdefiniowane zachowanie oznacza, że kod programu wykonuje operacje, których skutki nie są określone przez specyfikację języka, co może prowadzić do nieprzewidywalnych rezultatów — w tym uszkodzenia pamięci lub wykonania niezamierzonego kodu. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani posiadania jakichkolwiek uprawnień, co czyni tę podatność szczególnie niebezpieczną.

Skutki

Atakujący może potencjalnie uzyskać pełną kontrolę nad poufnością, integralnością i dostępnością systemu — co odpowiada ocenom C:H/I:H/A:H w wektorze CVSS. Exploit może być przeprowadzony zdalnie bez uwierzytelnienia.

Mitygacja

Należy niezwłocznie zaktualizować oprogramowanie do wersji: Firefox 149, Firefox ESR 140.9, Thunderbird 149 lub Thunderbird 140.9, w których podatność została naprawiona. Aktualizacje dostępne są u producenta zgodnie z referencjami (mfsa2026-20, mfsa2026-22, mfsa2026-23, mfsa2026-24).

Kogo dotyczy

Mozilla Firefox w wersjach przed 149, Mozilla Firefox ESR w wersjach przed 140.9, Mozilla Thunderbird w wersjach przed 149 oraz Mozilla Thunderbird ESR w wersjach przed 140.9.

Uwagi

Podatność została sklasyfikowana jako CWE-758 (Reliance on Undefined, Unspecified, or Implementation-Defined Behavior) oraz NVD-CWE-noinfo, co oznacza ograniczone informacje techniczne na temat szczegółowego mechanizmu. Szczegóły błędu dostępne są w Mozilla Bugzilla pod numerem 2014873.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 140.9.0< 149.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...