CRITICAL🇬🇧 English

CVE-2026-4702

Błąd kompilacji JIT w silniku JavaScript Mozilla Firefox i Thunderbird

CVSS 9.8v3.1pub. 2026-03-24upd. 2026-04-13

Podatność CVE-2026-4702 dotyczy błędnej kompilacji JIT (Just-In-Time) w komponencie silnika JavaScript przeglądarki Mozilla Firefox oraz klienta pocztowego Thunderbird. Oceniona jako krytyczna (CVSS 9.8), może zostać wykorzystana zdalnie bez uwierzytelnienia i bez interakcji użytkownika.

Pokaż oryginał (EN)

JIT miscompilation in the JavaScript Engine component. This vulnerability was fixed in Firefox 149, Firefox ESR 140.9, Thunderbird 149, and Thunderbird 140.9.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-843 (Type Confusion) polega na nieprawidłowym przetwarzaniu typów danych przez kompilator JIT silnika JavaScript. Błąd kompilacji JIT może prowadzić do sytuacji, w której kod JavaScript wykonywany w przeglądarce operuje na danych w sposób niezgodny z ich rzeczywistym typem. Atakujący może spreparować złośliwy kod JavaScript i dostarczyć go ofierze np. poprzez odwiedzenie odpowiednio przygotowanej strony internetowej lub otwarcie wiadomości e-mail zawierającej złośliwy skrypt.

Skutki

Udane wykorzystanie podatności może pozwolić atakującemu na uzyskanie pełnej kontroli nad poufnością, integralnością i dostępnością systemu, w tym potencjalnie na zdalne wykonanie dowolnego kodu (RCE) w kontekście aplikacji.

Mitygacja

Należy zaktualizować Mozilla Firefox do wersji 149 lub nowszej, Mozilla Firefox ESR do wersji 140.9 lub nowszej, Mozilla Thunderbird do wersji 149 lub nowszej oraz Mozilla Thunderbird ESR do wersji 140.9 lub nowszej. Szczegóły dostępne w poradnikach bezpieczeństwa Mozilla (mfsa2026-20, mfsa2026-22, mfsa2026-23, mfsa2026-24).

Kogo dotyczy

Mozilla Firefox w wersjach przed 149, Mozilla Firefox ESR w wersjach przed 140.9, Mozilla Thunderbird w wersjach przed 149 oraz Mozilla Thunderbird ESR w wersjach przed 140.9.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 140.9.0< 149.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...