CRITICAL🇬🇧 English

CVE-2026-2757

Błędne warunki graniczne w komponencie WebRTC Audio/Video w Firefox i Thunderbird

CVSS 9.8v3.1pub. 2026-02-24upd. 2026-06-30

Podatność w komponencie WebRTC Audio/Video w przeglądarkach Mozilla Firefox oraz kliencie poczty Thunderbird polega na nieprawidłowej weryfikacji warunków granicznych. Oceniona jako krytyczna (CVSS 9.8), może zostać wykorzystana zdalnie bez uwierzytelnienia i bez interakcji użytkownika.

Pokaż oryginał (EN)

Incorrect boundary conditions in the WebRTC: Audio/Video component. This vulnerability was fixed in Firefox 148, Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.

🤖 Analiza AI
Jak działa

Błąd wynika z niepoprawnej obsługi warunków granicznych (incorrect boundary conditions) w komponencie odpowiedzialnym za przetwarzanie audio i wideo w ramach protokołu WebRTC. Atakujący może dostarczyć specjalnie spreparowane dane medialne za pośrednictwem sieci, co prowadzi do naruszenia integralności pamięci lub innego nieprawidłowego zachowania aplikacji. Ze względu na brak szczegółowych informacji technicznych (CWE: NVD-CWE-noinfo) dokładny mechanizm eksploitacji nie jest publicznie udokumentowany.

Skutki

Skuteczne wykorzystanie podatności może pozwolić atakującemu na uzyskanie poufnych danych, naruszenie integralności systemu lub spowodowanie niedostępności aplikacji — przy najwyższym poziomie wpływu na poufność, integralność i dostępność zgodnie z wektorem CVSS.

Mitygacja

Należy zaktualizować oprogramowanie do wersji: Firefox 148, Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird 148 lub Thunderbird 140.8, zgodnie z zaleceniami producenta opublikowanymi w poradnikach bezpieczeństwa Mozilla (MFSA2026-13 do MFSA2026-16).

Kogo dotyczy

Mozilla Firefox przed wersją 148, Mozilla Firefox ESR przed wersjami 115.33 i 140.8, Mozilla Thunderbird przed wersją 148 oraz Mozilla Thunderbird przed wersją 140.8.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 115.33.0< 148.0128.0 – 140.8.0 (bez)
  • Mozilla Thunderbird

    APP
    Mozilla
    < 140.8.0< 148.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...