[TLP:CLEAR] Mozilla Firefox a Firefox ESR opravujú 13 zraniteľností
Mozilla opravuje 13 zraniteľností v produktoch Firefox ESR a Firefox. Oprava sa nachádza vo verziách 128.12 a 115.25 pre Firefox ESR a vo verzii 140 pre Firefox [1][2][3]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.
Neautentizovanému vzdialenému útočníkovi je vo Firefox a Firefox ESR umožnené spustiť ľubovolný kód s právami procesu prehliadača nahrávaním dát do pamäte po jej uvoľnení [1][2][3].
Zraniteľnosť sa nachádza v produktoch:
- Firefox ESR vo verziách (>=115 AND <115.25) OR (>=128 AND <128.12)
- Firefox vo verziách >140
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-6424 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 6. 2025.
Neautentizovanému vzdialenému útočníkovi je vo Firefox a Firefox ESR vrámci prehliadača umožnené spôsobiť zobrazenie súboru určeného na stiahnutie, čo môže za určitých okolností potenciálne viesť k XSS útoku [1][3].
Zraniteľnosť sa nachádza v produktoch:
- Firefox ESR vo verziách >=128 AND <128.12
- Firefox vo verziách >140
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Viac informácií:
- CVE-2025-6425 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 6. 2025.
Odkazy
Za CESNET-CERTS Martin Krajči dňa 27. 6. 2025.