CRITICAL🇬🇧 English

CVE-2026-8948

Obejście same-origin policy w komponencie DOM/Networking Mozilla Firefox i Thunderbird

CVSS 9.1v3.1pub. 2026-05-19upd. 2026-06-30

Podatność w Mozilla Firefox i Thunderbird umożliwia obejście mechanizmu same-origin policy (SOP) w komponencie DOM/Networking. Jest to podatność klasy CWE-942 (nadmiernie permisywna polityka CORS/origin), która może prowadzić do nieautoryzowanego dostępu do danych i ich modyfikacji między różnymi źródłami.

Pokaż oryginał (EN)

Same-origin policy bypass in the DOM: Networking component. This vulnerability was fixed in Firefox 151 and Thunderbird 151.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej implementacji mechanizmu same-origin policy w komponencie odpowiedzialnym za obsługę sieci (Networking) w ramach modelu DOM. Polityka same-origin stanowi fundament bezpieczeństwa przeglądarek — jej obejście oznacza, że złośliwa strona internetowa może wykonywać żądania i odczytywać odpowiedzi z innych źródeł (origin), do których normalnie nie powinna mieć dostępu. Podatność jest dostępna zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, co znacząco obniża próg jej wykorzystania.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych należących do innych źródeł (np. ciasteczek sesji, danych formularzy, odpowiedzi API) oraz modyfikować dane w kontekście innych stron — przy czym wektor CVSS wskazuje na wysoki wpływ na poufność i integralność, bez wpływu na dostępność.

Mitygacja

Należy niezwłocznie zaktualizować Mozilla Firefox do wersji 151 lub nowszej oraz Mozilla Thunderbird do wersji 151 lub nowszej. Poprawki zostały opisane w biuletynach bezpieczeństwa Mozilla: mfsa2026-46 (Firefox) i mfsa2026-50 (Thunderbird).

Kogo dotyczy

Mozilla Firefox w wersjach przed 151 oraz Mozilla Thunderbird w wersjach przed 151.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Mozilla Firefox

    APP
    Mozilla
    < 151.0.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 151.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...