CRITICAL🇬🇧 English

CVE-2026-6760

Obejście zabezpieczeń cookies w Mozilla Firefox i Thunderbird

CVSS 9.8v3.1pub. 2026-04-21upd. 2026-04-22

Podatność w komponencie Networking: Cookies produktów Mozilla Firefox i Thunderbird umożliwia obejście mechanizmów ochronnych (mitigation bypass) związanych z obsługą plików cookie. Krytyczny poziom CVSS 9.8 wskazuje na możliwość poważnego naruszenia poufności, integralności i dostępności bez jakichkolwiek wymagań wstępnych po stronie atakującego.

Pokaż oryginał (EN)

Mitigation bypass in the Networking: Cookies component. This vulnerability was fixed in Firefox 150 and Thunderbird 150.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) polega na ominięciu wdrożonych zabezpieczeń w komponencie odpowiedzialnym za obsługę cookies sieciowych. Atakujący może wykorzystać alternatywną ścieżkę lub mechanizm do obejścia nałożonych restrykcji bez konieczności uwierzytelnienia, interakcji użytkownika czy szczególnych uprawnień. Atak jest możliwy zdalnie przez sieć, a niska złożoność wskazuje na łatwość jego przeprowadzenia.

Skutki

Skuteczne wykorzystanie podatności może pozwolić atakującemu na uzyskanie nieautoryzowanego dostępu do danych sesji lub poufnych informacji przechowywanych w cookies, a także na naruszenie integralności i dostępności aplikacji korzystającej z dotkniętego komponentu.

Mitygacja

Należy zaktualizować Mozilla Firefox do wersji 150 lub nowszej oraz Mozilla Thunderbird do wersji 150 lub nowszej. Patche dostępne są w oficjalnych kanałach dystrybucji Mozilla zgodnie z referencjami producenta (mfsa2026-30, mfsa2026-33).

Kogo dotyczy

Mozilla Firefox w wersjach przed 150 oraz Mozilla Thunderbird w wersjach przed 150.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 150.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 150.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...