CRITICAL🇬🇧 English

CVE-2026-2776

Ucieczka z sandbox w komponencie Telemetry Mozilla Firefox i Thunderbird

CVSS 10.0v3.1pub. 2026-02-24upd. 2026-06-30

Podatność umożliwia ucieczkę z mechanizmu sandbox w komponentach Mozilla Firefox i Thunderbird z powodu nieprawidłowej weryfikacji warunków granicznych w komponencie Telemetry zewnętrznego oprogramowania. Ocena CVSS 10.0 oznacza maksymalny poziom krytyczności — atakujący może uzyskać pełną kontrolę nad systemem bez jakichkolwiek uprawnień.

Pokaż oryginał (EN)

Sandbox escape due to incorrect boundary conditions in the Telemetry component in External Software. This vulnerability was fixed in Firefox 148, Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.

🤖 Analiza AI
Jak działa

Błąd dotyczy nieprawidłowych warunków granicznych (incorrect boundary conditions) w komponencie Telemetry zewnętrznego oprogramowania (External Software), co kwalifikuje się jako podatność klasy CWE-119 — nieprawidłowe ograniczenie operacji w obrębie bufora pamięci. Skutkuje to możliwością ucieczki z izolowanego środowiska sandbox stosowanego przez przeglądarki Mozilla w celu ograniczenia skutków potencjalnych ataków. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, a zakres ataku wykracza poza izolowany komponent (S:C).

Skutki

Atakujący może wydostać się z mechanizmu sandbox i uzyskać pełny dostęp do poufności, integralności oraz dostępności systemu, co w praktyce może oznaczać przejęcie kontroli nad hostem ofiary oraz wykonanie dowolnego kodu poza izolowanym środowiskiem przeglądarki.

Mitygacja

Należy niezwłocznie zaktualizować oprogramowanie do wersji: Firefox 148, Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird 148 lub Thunderbird 140.8. Patche dostępne są u producenta zgodnie z referencjami (mfsa2026-13 do mfsa2026-16).

Kogo dotyczy

Mozilla Firefox (wersje przed 148), Mozilla Firefox ESR (wersje przed 115.33 i przed 140.8), Mozilla Thunderbird (wersje przed 148 i przed 140.8)

Uwagi

Podatność dotyczy komponentu Telemetry w External Software — szczegóły techniczne zostały opublikowane pod numerem zgłoszenia Bugzilla #2015266. Brak informacji o aktywnym wykorzystaniu w środowiskach produkcyjnych (nie widnieje w katalogu CISA KEV).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 115.33.0< 148.0128.0 – 140.8.0 (bez)
  • Mozilla Thunderbird

    APP
    Mozilla
    < 140.8.0< 148.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...