CRITICAL🇬🇧 English

CVE-2026-8401

Ucieczka z sandbox w komponencie Profile Backup w Mozilla Firefox

CVSS 9.8pub. 2026-05-12upd. 2026-06-30

Podatność w komponencie Profile Backup przeglądarki Mozilla Firefox umożliwia ucieczkę z mechanizmu sandbox. Ze względu na krytyczny poziom zagrożenia (CVSS 9.8) i brak wymagań wstępnych do przeprowadzenia ataku, podatność stanowi poważne zagrożenie dla użytkowników.

Pokaż oryginał (EN)

Sandbox escape in the Profile Backup component. This vulnerability was fixed in Firefox 150.0.3, Firefox ESR 115.36, Firefox ESR 140.11, and Thunderbird 140.11.

🤖 Analiza AI
Jak działa

Błąd klasyfikowany jako CWE-693 (Protection Mechanism Failure) wskazuje na nieskuteczność mechanizmu ochronnego — w tym przypadku sandboxu. Atakujący może wykorzystać podatność w komponencie Profile Backup, aby wydostać się poza ograniczone środowisko wykonawcze przeglądarki. Atak może zostać przeprowadzony zdalnie, bez uwierzytelnienia i bez jakiejkolwiek interakcji ze strony użytkownika, co czyni go szczególnie niebezpiecznym.

Skutki

Udane wykorzystanie podatności pozwala atakującemu na ucieczkę z sandbox przeglądarki, co może prowadzić do uzyskania nieautoryzowanego dostępu do systemu operacyjnego, naruszenia poufności i integralności danych oraz destabilizacji działania systemu.

Mitygacja

Należy niezwłocznie zaktualizować oprogramowanie do wersji Firefox 150.0.3, Firefox ESR 115.36, Firefox ESR 140.11 lub Thunderbird 140.11, w których podatność została naprawiona przez producenta.

Kogo dotyczy

Mozilla Firefox w wersjach przed 150.0.3, Mozilla Firefox ESR w wersjach przed 115.36 i przed 140.11, Mozilla Thunderbird w wersjach przed 140.11.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 150.0.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...