CRITICAL🇬🇧 English

CVE-2026-4721

Błędy bezpieczeństwa pamięci w Firefox i Thunderbird — możliwy RCE

CVSS 9.8v3.1pub. 2026-03-24upd. 2026-06-30

W Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird ESR 140.8, Firefox 148 i Thunderbird 148 wykryto błędy bezpieczeństwa pamięci (CWE-120 — buffer overflow), z których część wykazuje oznaki uszkodzenia pamięci. Podatność jest krytyczna, ponieważ atakujący może potencjalnie wykonać dowolny kod na systemie ofiary bez żadnej interakcji użytkownika.

Pokaż oryginał (EN)

Memory safety bugs present in Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird ESR 140.8, Firefox 148 and Thunderbird 148. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability was fixed in Firefox 149, Firefox ESR 115.34, Firefox ESR 140.9, Thunderbird 149, and Thunderbird 140.9.

🤖 Analiza AI
Jak działa

Podatność wynika z błędów w zarządzaniu pamięcią obecnych w wymienionych wersjach Firefox i Thunderbird, sklasyfikowanych jako buffer overflow (CWE-120). Część ze zidentyfikowanych błędów wykazała dowody faktycznego uszkodzenia pamięci podczas analizy. Zdaniem Mozilla, przy wystarczającym nakładzie pracy niektóre z tych błędów mogłyby zostać wykorzystane do wykonania arbitralnego kodu. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika (AV:N/AC:L/PR:N/UI:N).

Skutki

Skuteczne wykorzystanie podatności może umożliwić atakującemu zdalne wykonanie dowolnego kodu (RCE) na podatnym systemie, co prowadzi do pełnego naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zaktualizować oprogramowanie do następujących wersji zawierających poprawki: Firefox 149, Firefox ESR 115.34, Firefox ESR 140.9, Thunderbird 149, Thunderbird ESR 140.9. Patche dostępne są za pośrednictwem mechanizmu automatycznych aktualizacji Mozilla oraz na oficjalnej stronie producenta (referencje: mfsa2026-20, mfsa2026-21, mfsa2026-22, mfsa2026-23).

Kogo dotyczy

Mozilla Firefox 148, Mozilla Firefox ESR 115.33, Mozilla Firefox ESR 140.8, Mozilla Thunderbird 148, Mozilla Thunderbird ESR 140.8

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 115.34.0< 149.0128.0 – 140.9.0 (bez)
  • Mozilla Thunderbird

    APP
    Mozilla
    < 140.9.0< 149.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...