CRITICAL🇬🇧 English

CVE-2026-2759

Nieprawidłowe warunki graniczne w komponencie Graphics: ImageLib Mozilla

CVSS 9.8v3.1pub. 2026-02-24upd. 2026-06-30

Podatność krytyczna w komponencie Graphics: ImageLib przeglądarki Mozilla Firefox oraz klienta pocztowego Mozilla Thunderbird, wynikająca z nieprawidłowych warunków granicznych podczas przetwarzania obrazów. Ocena CVSS 9.8 wskazuje na możliwość zdalnego wykorzystania bez jakiejkolwiek interakcji użytkownika i bez wymaganych uprawnień.

Pokaż oryginał (EN)

Incorrect boundary conditions in the Graphics: ImageLib component. This vulnerability was fixed in Firefox 148, Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej weryfikacji warunków granicznych (boundary conditions) w bibliotece ImageLib odpowiedzialnej za przetwarzanie grafiki. Niepoprawna obsługa granic może prowadzić do operacji na pamięci poza dozwolonym zakresem przy przetwarzaniu specjalnie spreparowanego pliku obrazu lub treści graficznej. Wektor ataku sieciowy (AV:N) bez wymogu uwierzytelnienia (PR:N) i interakcji użytkownika (UI:N) oznacza, że samo odwiedzenie złośliwej strony lub otwarcie spreparowanej wiadomości może być wystarczające do wywołania podatności.

Skutki

Skuteczne wykorzystanie podatności może umożliwić atakującemu uzyskanie pełnej kontroli nad poufnością, integralnością i dostępnością systemu — co odpowiada ocenie High we wszystkich trzech kategoriach CVSS. W praktyce może to oznaczać zdalne wykonanie kodu (RCE) w kontekście procesu przeglądarki lub klienta pocztowego.

Mitygacja

Należy niezwłocznie zaktualizować oprogramowanie do następujących wersji zawierających poprawkę: Firefox 148, Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird 148 lub Thunderbird 140.8. Patche dostępne są za pośrednictwem mechanizmu automatycznych aktualizacji Mozilla oraz na oficjalnych stronach produktów.

Kogo dotyczy

Mozilla Firefox w wersjach poprzedzających 148 i Firefox ESR w wersjach poprzedzających 115.33 oraz 140.8, a także Mozilla Thunderbird w wersjach poprzedzających 148 i Thunderbird 140.8.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 115.33.0< 148.0128.0 – 140.8.0 (bez)
  • Mozilla Thunderbird

    APP
    Mozilla
    < 140.8.0< 148.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...