CRITICAL🇬🇧 English

CVE-2025-8043

Mozilla Firefox/Thunderbird: nieprawidłowe obcinanie URL w Focus (spoofing adresu)

CVSS 9.8v3.1pub. 2025-07-22upd. 2026-04-13

Komponent Focus w Mozilla Firefox nieprawidłowo obcinał wyświetlany adres URL od początku zamiast wokół źródła (origin). Może to prowadzić do wprowadzenia użytkownika w błąd co do rzeczywistej odwiedzanej strony, co stanowi poważne zagrożenie dla bezpieczeństwa.

Pokaż oryginał (EN)

Focus incorrectly truncated URLs towards the beginning instead of around the origin. This vulnerability was fixed in Firefox 141.

🤖 Analiza AI
Jak działa

Podatność (CWE-451 — User Interface Misrepresentation of Critical Information) polega na tym, że gdy adres URL jest zbyt długi, aby zmieścić się w pasku adresu, mechanizm Focus skracał go od początku ciągu znaków zamiast zachowywać i eksponować część zawierającą origin (domenę). W rezultacie użytkownik widzi fragment URL, który nie odzwierciedla rzeczywistej domeny serwera, co może być wykorzystane przez atakującego do przeprowadzenia ataku spoofingowego — ofiara sądzi, że przebywa na zaufanej stronie, podczas gdy faktycznie jest na domenie kontrolowanej przez napastnika.

Skutki

Atakujący może nakłonić użytkownika do przekonania, że odwiedza zaufaną witrynę, co otwiera drogę do wyłudzenia danych uwierzytelniających (phishing) lub przeprowadzenia innych ataków opartych na fałszowaniu tożsamości serwisu.

Mitygacja

Należy zaktualizować Mozilla Firefox do wersji 141 lub nowszej. W przypadku Mozilla Thunderbird należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.mozilla.org/security/advisories/mfsa2025-56/)

Kogo dotyczy

Mozilla Firefox w wersjach poprzedzających 141; zgodnie z opisem podatność dotyczy również Mozilla Thunderbird — szczegółowe wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 141.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 141.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...