CRITICAL🇬🇧 English

CVE-2026-6768

Ominięcie mechanizmu uwierzytelniania w komponencie Cookies przeglądarki Mozilla Firefox i Thunderbird

CVSS 9.8v3.1pub. 2026-04-21upd. 2026-04-22

Podatność klasy CWE-288 (Authentication Bypass Using an Alternate Path or Channel) w komponencie obsługi cookies sieciowych pozwala zdalnym atakującym na ominięcie mechanizmów zabezpieczeń bez jakiegokolwiek uwierzytelnienia. Otrzymała ocenę CVSS 9.8, co czyni ją zagrożeniem krytycznym wymagającym pilnej reakcji.

Pokaż oryginał (EN)

Mitigation bypass in the Networking: Cookies component. This vulnerability was fixed in Firefox 150 and Thunderbird 150.

🤖 Analiza AI
Jak działa

Podatność polega na możliwości ominięcia zastosowanych zabezpieczeń (mitigation bypass) w komponencie Networking: Cookies — module odpowiedzialnym za obsługę plików cookie w komunikacji sieciowej. Atakujący może wykorzystać alternatywną ścieżkę lub kanał dostępu, który nie jest objęty istniejącymi mechanizmami ochronnymi, co skutkuje całkowitym pominięciem kontroli bezpieczeństwa. Atak można przeprowadzić zdalnie, bez uwierzytelnienia i bez jakiejkolwiek interakcji ze strony użytkownika.

Skutki

Udane wykorzystanie podatności może prowadzić do pełnego naruszenia poufności, integralności i dostępności danych — atakujący uzyskuje możliwość nieuprawnionego odczytu, modyfikacji lub usunięcia wrażliwych informacji przetwarzanych przez aplikację.

Mitygacja

Należy niezwłocznie zaktualizować Mozilla Firefox do wersji 150 lub nowszej oraz Mozilla Thunderbird do wersji 150 lub nowszej. Szczegółowe informacje dostępne są w biuletynach bezpieczeństwa producenta: mfsa2026-30 (Firefox) i mfsa2026-33 (Thunderbird).

Kogo dotyczy

Mozilla Firefox w wersjach przed 150 oraz Mozilla Thunderbird w wersjach przed 150.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 150.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 150.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...