[TLP:CLEAR] Mozilla Firefox a Firefox ESR opravujú 13 zraniteľností

Mozilla opravuje 13 zraniteľností v produktoch Firefox ESR a Firefox. Oprava sa nachádza vo verziách 128.12 a 115.25 pre Firefox ESR a vo verzii 140 pre Firefox [1][2][3]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.

Mozilla Firefox,Thunderbird - use-after-free (CVE-2025-6424) CVSS 9.8 (Critical)

Neautentizovanému vzdialenému útočníkovi je vo Firefox a Firefox ESR umožnené spustiť ľubovolný kód s právami procesu prehliadača nahrávaním dát do pamäte po jej uvoľnení [1][2][3].

Zraniteľnosť sa nachádza v produktoch:

  • Firefox ESR vo verziách (>=115 AND <115.25) OR (>=128 AND <128.12)
  • Firefox vo verziách >140

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 24. 6. 2025.

Mozilla Firefox,Thunderbird - XSS (CVE-2025-6430) CVSS 6.1 (Medium)

Neautentizovanému vzdialenému útočníkovi je vo Firefox a Firefox ESR vrámci prehliadača umožnené spôsobiť zobrazenie súboru určeného na stiahnutie, čo môže za určitých okolností potenciálne viesť k XSS útoku [1][3].

Zraniteľnosť sa nachádza v produktoch:

  • Firefox ESR vo verziách >=128 AND <128.12
  • Firefox vo verziách >140

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 24. 6. 2025.


Za CESNET-CERTS Martin Krajči dňa 27. 6. 2025.

CESNET CERTS Logo