CRITICAL🇬🇧 English

CVE-2026-4700

Ominięcie zabezpieczeń w komponencie HTTP przeglądarki Mozilla Firefox

CVSS 9.8v3.1pub. 2026-03-24upd. 2026-06-30

Podatność w komponencie Networking: HTTP produktów Mozilla Firefox i Thunderbird umożliwia ominięcie istniejących mechanizmów ochronnych (mitigation bypass). Oceniona jako krytyczna z wynikiem CVSS 9.8, może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu bez wymagania jakiegokolwiek uwierzytelnienia.

Pokaż oryginał (EN)

Mitigation bypass in the Networking: HTTP component. This vulnerability was fixed in Firefox 149, Firefox ESR 140.9, Thunderbird 149, and Thunderbird 140.9.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-288 wskazuje na obejście mechanizmu uwierzytelniania lub kontroli dostępu za pomocą alternatywnej ścieżki lub kanału w komponencie obsługi protokołu HTTP. Atakujący zdalny, nieuwierzytelniony użytkownik może ominąć istniejące zabezpieczenia sieciowe wdrożone w warstwie HTTP przeglądarki lub klienta pocztowego. Wektor ataku sieciowy (AV:N) przy braku wymagań dotyczących uprawnień (PR:N) i interakcji użytkownika (UI:N) oznacza, że exploit może być przeprowadzony w pełni zdalnie i automatycznie.

Skutki

Skuteczne wykorzystanie podatności może dać atakującemu pełną kontrolę nad atakowanym systemem, skutkując ujawnieniem poufnych danych, modyfikacją zasobów oraz zakłóceniem dostępności usług (wysokie wskaźniki C:H/I:H/A:H w CVSS).

Mitygacja

Należy niezwłocznie zaktualizować do wersji Firefox 149, Firefox ESR 140.9, Thunderbird 149 lub Thunderbird 140.9, w których podatność została naprawiona. Patche dostępne są na oficjalnych stronach producenta oraz opisane w poradnikach bezpieczeństwa Mozilla (MFSA2026-20, MFSA2026-22, MFSA2026-23, MFSA2026-24).

Kogo dotyczy

Mozilla Firefox w wersjach przed 149, Mozilla Firefox ESR w wersjach przed 140.9, Mozilla Thunderbird w wersjach przed 149 oraz Mozilla Thunderbird ESR w wersjach przed 140.9.

Uwagi

Podatność naprawiona jednocześnie w czterech wydaniach: Firefox 149, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9, co sugeruje szerokie oddziaływanie na całą rodzinę produktów Mozilla. Brak szczegółowego opisu technicznego w oficjalnym komunikacie ogranicza możliwość dokładnej oceny mechanizmu ataku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 140.9.0< 149.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...