Mozilla publicó avisos de seguridad para abordar varias vulnerabilidades en sus productos. Un actor malicioso remoto podría explotar algunas de estas vulnerabilidades para activar una condición de denegación de servicio y la elusión de permisos en el sistema objetivo.
Productos afectados
- Firefox ESR – versiones anteriores a la 128.12
- Firefox ESR – versiones anteriores a la 115.25
- Firefox – versiones anteriores a la 140
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-6424: con una severidad de seguridad de Mozilla alta. Existe una vulnerabilidad de uso posterior a la liberación en FontFaceSet, que podría provocar un bloqueo potencialmente explotable.
CVE-2025-6425: con una severidad de seguridad de Mozilla moderada. Existe una vulnerabilidad donde un actor malicioso podría enumerar recursos de la extensión WebCompat con un UUID persistente, que identifica al navegador y persiste entre contenedores y el modo de navegación normal/privado, pero no entre perfiles.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-6424
- https://nvd.nist.gov/vuln/detail/CVE-2025-6425
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-51/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-52/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-53/
- https://www.mozilla.org/en-US/security/advisories/