CRITICAL🇬🇧 English

CVE-2026-8956

Integer overflow w komponencie Networking: JAR w Firefox i Thunderbird

CVSS 9.8v3.1pub. 2026-05-19upd. 2026-05-20

Podatność typu integer overflow w komponencie Networking: JAR w przeglądarkach Mozilla Firefox oraz kliencie pocztowym Mozilla Thunderbird umożliwia zdalny atak bez uwierzytelnienia. Ze względu na ocenę CVSS 9.8 stanowi krytyczne zagrożenie dla wszystkich użytkowników niezaktualizowanych wersji.

Pokaż oryginał (EN)

Integer overflow in the Networking: JAR component. This vulnerability was fixed in Firefox 151, Firefox ESR 140.11, Thunderbird 151, and Thunderbird 140.11.

🤖 Analiza AI
Jak działa

Błąd polega na przepełnieniu liczby całkowitej (integer overflow) w komponencie odpowiedzialnym za obsługę zasobów sieciowych w formacie JAR (Java Archive). Przepełnienie wartości całkowitej może prowadzić do nieprawidłowych obliczeń dotyczących rozmiaru buforów lub wskaźników pamięci, co z kolei może zostać wykorzystane przez atakującego do wykonania złośliwego kodu. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika, a wektor ataku jest sieciowy.

Skutki

Atakujący może uzyskać pełną kontrolę nad poufnością, integralnością i dostępnością systemu, w tym potencjalnie wykonać dowolny kod (RCE) w kontekście podatnej aplikacji.

Mitygacja

Należy zaktualizować oprogramowanie do wersji Firefox 151, Firefox ESR 140.11, Thunderbird 151 lub Thunderbird 140.11, w których podatność została naprawiona.

Kogo dotyczy

Mozilla Firefox w wersjach przed 151 i Firefox ESR w wersjach przed 140.11, Mozilla Thunderbird w wersjach przed 151 i Thunderbird ESR w wersjach przed 140.11.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 140.11.0< 151.0.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 140.11< 151.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...