Mozilla ha lanzado actualizaciones de seguridad para corregir varias vulnerabilidades. Estas podrían permitir a un actor malicioso la ejecución de código arbitrario, escalada de privilegios y eludir restricciones de seguridad.
Productos afectados
- Firefox, versiones anteriores a la 138
- Firefox ESR 128.x, versiones anteriores a 128.10
- Firefox ESR 115.x, versiones anteriores a 115.23
- Thunderbird, versiones anteriores a la 138
- Thunderbird ESR 128.x, versiones anteriores a 128.10
Impacto
Las vulnerabilidades más severas se han identificado como:
CVE-2025-2817: con una puntuación de 8.8 en CVSS v3.1. La vulnerabilidad de gestión incorrecta de encabezados HTTP de prioridad no válida podría permitir que solicitudes malformadas evadieran la limpieza de errores, generando acumulación de recursos no liberados en memoria. Al manipular estos encabezados, un actor malicioso podría desencadenar un fallo en el mecanismo de liberación de solicitudes fallidas, lo que resultaría en fugas de memoria persistentes y una potencial degradación del rendimiento o denegación de servicio.
CVE-2025-4092: con una puntuación de 6.5 en CVSS v3.1. Esta vulnerabilidad de memoria, mostró evidencia de corrupción que podría haberse explotado para ejecutar código arbitrario.
CVE-2025-4093: con una puntuación de 6.5 en CVSS v3.1. Esta vulnerabilidad de memoria, mostró evidencia de corrupción que podría haberse explotado para ejecutar código arbitrario.
CVE-2025-4082: sin puntuación CVSS asignada aún. La modificación de atributos específicos de sombreadores WebGL podría desencadenar una lectura fuera de los límites, que, al combinarse con otras vulnerabilidades, podría utilizarse para escalar privilegios.
CVE-2025-4083: sin puntuación CVSS asignada aún. Esta vulnerabilidad de aislamiento de procesos en Firefox se originó debido a un manejo inadecuado de las URI de JavaScript, lo que podría permitir que el contenido se ejecutara en el proceso del documento de nivel superior en lugar del marco previsto, lo que podría habilitar un escape de la zona protegida.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-2817
- https://nvd.nist.gov/vuln/detail/CVE-2025-4082
- https://nvd.nist.gov/vuln/detail/CVE-2025-4083
- https://nvd.nist.gov/vuln/detail/CVE-2025-4092
- https://nvd.nist.gov/vuln/detail/CVE-2025-4093
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-32/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-31/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-30/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-29/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-28/