CRITICAL🇬🇧 English

CVE-2025-8037

Mozilla Firefox/Thunderbird: nieprawidłowa obsługa ciasteczek bez nazwy

CVSS 9.1v3.1pub. 2025-07-22upd. 2026-04-13

Podatność w Mozilla Firefox i Thunderbird umożliwia atakującemu zacienienie (shadowing) zabezpieczonych ciasteczek poprzez ustawienie ciasteczka bez nazwy zawierającego znak równości w wartości. Jest to groźne, ponieważ atak może obejść ochronę zapewnianą przez atrybut `Secure`, nawet gdy złośliwe ciasteczko jest przesyłane przez nieszyfrowane połączenie HTTP.

Pokaż oryginał (EN)

Setting a nameless cookie with an equals sign in the value shadowed other cookies. Even if the nameless cookie was set over HTTP and the shadowed cookie included the `Secure` attribute. This vulnerability was fixed in Firefox 141, Firefox ESR 140.1, Thunderbird 141, and Thunderbird 140.1.

🤖 Analiza AI
Jak działa

Mechanizm obsługi ciasteczek w Firefox i Thunderbird nieprawidłowo przetwarza ciasteczka pozbawione nazwy, których wartość zawiera znak równości. Takie ciasteczko powoduje zacienienie (shadowing) innych ciasteczek o tej samej nazwie klucza w wartości. Krytyczne jest to, że złośliwe ciasteczko ustawione przez HTTP może przysłonić ciasteczko chronione atrybutem `Secure`, który powinien zapewniać, że ciasteczko jest dostępne wyłącznie przez szyfrowane połączenia HTTPS. Tym samym mechanizm ochrony `Secure` zostaje nieskutecznie wyegzekwowany (CWE-614).

Skutki

Atakujący może zacienić wrażliwe ciasteczka sesyjne lub uwierzytelniające chronione atrybutem `Secure`, potencjalnie przejmując kontrolę nad sesją użytkownika lub uzyskując nieautoryzowany dostęp do zasobów chronionych tymi ciasteczkami. Naruszone mogą zostać zarówno poufność, jak i integralność danych sesji.

Mitygacja

Należy zaktualizować oprogramowanie do wersji: Firefox 141 lub Firefox ESR 140.1, Thunderbird 141 lub Thunderbird 140.1. Aktualizacje dostępne są u producenta zgodnie z referencjami (mfsa2025-56, mfsa2025-59, mfsa2025-61, mfsa2025-63).

Kogo dotyczy

Mozilla Firefox przed wersją 141 i Firefox ESR przed wersją 140.1 oraz Mozilla Thunderbird przed wersją 141 i Thunderbird ESR przed wersją 140.1.

Uwagi

Szczegóły techniczne błędu dostępne są w zgłoszeniu Bugzilla o numerze 1964767. Podatność sklasyfikowana jako CWE-614, czyli brak atrybutu Secure w pliku cookie przesyłanym przez HTTPS.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Mozilla Firefox

    APP
    Mozilla
    < 140.1< 141.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 140.1< 141.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...