Se han descubierto vulnerabilidades de severidad crítica y alta en Mozilla Firefox ESR y Mozilla Thunderbird. Un actor malicioso podría ejecutar código arbitrario o escapar del entorno aislado.
Productos afectados
- Mozilla Firefox ESR: versiones anteriores a 140.6
- Mozilla Thunderbird: versiones anteriores a 146
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-14324: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de compilación incorrecta JIT (Just-In-Time) en el motor JavaScript. Un actor malicioso podría aprovechar esta vulnerabilidad para ejecutar código arbitrario de forma remota.
CVE-2025-14321: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de uso de memoria después de liberarla en el componente WebRTC. Un actor malicioso podría explotar esta condición para corromper la memoria y ejecutar código arbitrario.
CVE-2025-14322: con una puntuación de 8.0 en CVSS v3.1. Existe una vulnerabilidad de escape del sandbox debida a condiciones de límite incorrectas en el componente Graphics (CanvasWebGL). Un actor malicioso podría eludir las restricciones de seguridad y acceder al sistema subyacente.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-14324
- https://nvd.nist.gov/vuln/detail/CVE-2025-14321
- https://nvd.nist.gov/vuln/detail/CVE-2025-14322
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/