Podatność w komponencie Networking: Cookies produktów Mozilla Firefox i Thunderbird umożliwia obejście mechanizmów ochronnych (mitigation bypass) związanych z obsługą plików cookie. Krytyczny poziom CVSS 9.8 wskazuje na możliwość poważnego naruszenia poufności, integralności i dostępności bez jakichkolwiek wymagań wstępnych po stronie atakującego.
▸ Pokaż oryginał (EN)
Mitigation bypass in the Networking: Cookies component. This vulnerability was fixed in Firefox 150 and Thunderbird 150.
Podatność sklasyfikowana jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) polega na ominięciu wdrożonych zabezpieczeń w komponencie odpowiedzialnym za obsługę cookies sieciowych. Atakujący może wykorzystać alternatywną ścieżkę lub mechanizm do obejścia nałożonych restrykcji bez konieczności uwierzytelnienia, interakcji użytkownika czy szczególnych uprawnień. Atak jest możliwy zdalnie przez sieć, a niska złożoność wskazuje na łatwość jego przeprowadzenia.
Skuteczne wykorzystanie podatności może pozwolić atakującemu na uzyskanie nieautoryzowanego dostępu do danych sesji lub poufnych informacji przechowywanych w cookies, a także na naruszenie integralności i dostępności aplikacji korzystającej z dotkniętego komponentu.
Należy zaktualizować Mozilla Firefox do wersji 150 lub nowszej oraz Mozilla Thunderbird do wersji 150 lub nowszej. Patche dostępne są w oficjalnych kanałach dystrybucji Mozilla zgodnie z referencjami producenta (mfsa2026-30, mfsa2026-33).
Mozilla Firefox w wersjach przed 150 oraz Mozilla Thunderbird w wersjach przed 150.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMozilla Firefox
APPMozilla< 150.0Mozilla Thunderbird
APPMozilla< 150.0
Powiązane podatności
Use-after-free w Animation timelines Firefox/Thunderbird — RCE
An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...
Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...
Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...
Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...