CRITICAL🇬🇧 English

CVE-2025-8042

Firefox for Android: nieautoryzowane pobieranie plików z sandboxed iframe

CVSS 9.8v3.1pub. 2025-08-19upd. 2026-04-13

Firefox for Android nieprawidłowo egzekwował atrybut bezpieczeństwa `allow-downloads` dla osadzonych ramek iframe działających w trybie sandbox. Umożliwia to złośliwej stronie internetowej inicjowanie pobierania plików pomimo braku wymaganego uprawnienia.

Pokaż oryginał (EN)

Firefox for Android allowed a sandboxed iframe without the `allow-downloads` attribute to start downloads. This vulnerability was fixed in Firefox 141.

🤖 Analiza AI
Jak działa

Mechanizm sandbox dla elementów iframe w HTML przewiduje atrybut `allow-downloads`, który musi być jawnie nadany, aby ramka mogła inicjować pobieranie plików. W Firefox for Android kontrola tego uprawnienia była implementowana niepoprawnie (CWE-732 — nieprawidłowe przypisanie uprawnień do zasobów), w efekcie czego iframe działający w trybie sandbox, bez atrybutu `allow-downloads`, mógł mimo to uruchamiać pobieranie plików. Atakujący mógł umieścić złośliwą ramkę iframe na kontrolowanej stronie i zainicjować pobieranie bez wiedzy i zgody użytkownika.

Skutki

Atakujący może zainicjować pobieranie dowolnych plików na urządzeniu użytkownika bez wymaganego uprawnienia, co może prowadzić do dostarczenia złośliwego oprogramowania lub nieuprawnionego zapisu plików na urządzeniu z systemem Android.

Mitygacja

Należy zaktualizować Firefox for Android do wersji 141 lub nowszej, w której podatność została naprawiona. Aktualizacja dostępna jest poprzez Google Play Store.

Kogo dotyczy

Mozilla Firefox for Android w wersjach poprzedzających Firefox 141 (na urządzeniach z systemem Google Android)

Uwagi

Podatność została naprawiona w Firefox 141 zgodnie z oficjalnym komunikatem bezpieczeństwa Mozilla (MFSA2025-56). Mimo oceny CVSS 9.8 (CRITICAL), CISA nie odnotowała aktywnego exploitowania tej podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Google Android

    OS
    Google
    wszystkie wersje
  • Mozilla Firefox

    APP
    Mozilla
    < 141.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2020-16010CRITICAL9.6⚠ KEVten sam produkt

Heap buffer overflow in UI in Google Chrome on Android prior to 86.0.4240.185 allowed a remote attacker who ha...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2016-1019CRITICAL9.8⚠ KEVten sam produkt

Adobe Flash Player 21.0.0.197 and earlier allows remote attackers to cause a denial of service (application cr...