CRITICAL🇬🇧 English

CVE-2024-9392

Mozilla Firefox/Thunderbird — ładowanie stron cross-origin przez skompromitowany proces

CVSS 9.8v3.1pub. 2024-10-01upd. 2025-11-03

Podatność w Mozilla Firefox i Thunderbird pozwala skompromitowanemu procesowi treści (content process) na arbitralne ładowanie stron z innych źródeł (cross-origin). Ze względu na krytyczny poziom CVSS 9.8 i brak wymagań dotyczących uwierzytelnienia, stanowi poważne zagrożenie dla poufności, integralności i dostępności danych.

Pokaż oryginał (EN)

A compromised content process could have allowed for the arbitrary loading of cross-origin pages. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Firefox ESR < 115.16, Thunderbird < 128.3, and Thunderbird < 131.

🤖 Analiza AI
Jak działa

Podatność wynika z naruszenia zasady izolacji origin (CWE-346 — Origin Validation Error). W normalnych warunkach mechanizm same-origin policy uniemożliwia procesom treści dostęp do zasobów z innych domen. W przypadku tej luki skompromitowany content process może obejść tę kontrolę i załadować arbitralne strony cross-origin, co otwiera drogę do dalszego nadużycia środowiska przeglądarki lub klienta pocztowego.

Skutki

Atakujący, który uzyska kontrolę nad procesem treści, może uzyskać nieautoryzowany dostęp do danych z innych stron oraz potencjalnie wpłynąć na ich integralność i dostępność, co odpowiada pełnemu naruszeniu poufności, integralności i dostępności (CVSS C:H/I:H/A:H).

Mitygacja

Należy zaktualizować oprogramowanie do następujących wersji: Firefox 131 lub nowszy, Firefox ESR 128.3 lub nowszy, Firefox ESR 115.16 lub nowszy, Thunderbird 128.3 lub nowszy, Thunderbird 131 lub nowszy. Szczegółowe informacje dostępne w biuletynach bezpieczeństwa Mozilla: mfsa2024-46, mfsa2024-47, mfsa2024-48.

Kogo dotyczy

Mozilla Firefox w wersji poniżej 131, Mozilla Firefox ESR w wersjach poniżej 128.3 oraz poniżej 115.16, Mozilla Thunderbird w wersji poniżej 128.3 oraz poniżej 131.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 115.6.0< 131.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 128.3.0129.0 – 131.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...