Múltiples vulnerabilidades en los productos de Mozilla para Red Hat

05/05/2025 Noticias 0

Se lanzaron actualizaciones para corregir múltiples vulnerabilidades en los productos de Mozilla para Red Hat. Un actor malicioso remoto podría explotar estas vulnerabilidades para escalada de privilegios, ejecutar código arbitrario, habilitar un escape de la zona protegida o corrupción de memoria.

Productos afectados

  • Red Hat Enterprise Linux for x86_64 8 x86_64.
  • Red Hat Enterprise Linux for IBM z Systems 8 s390x.
  • Red Hat Enterprise Linux for Power, little endian 8 ppc64le.
  • Red Hat Enterprise Linux for ARM 64 8 aarch64.

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-4093: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de corrupción de memoria que podría permitir la ejecución de código arbitrario.

CVE-2025-2817: con una puntuación de 8.5 en CVSS v3.1. Existe una vulnerabilidad en el mecanismo de actualización de Mozilla Firefox. Al inyectar código en el proceso con privilegios de usuario, un actor malicioso podría eludir los controles de acceso previstos, lo que permitiría operaciones con archivos a nivel de sistema en rutas controladas por un usuario sin privilegios y la escalada de privilegios.

CVE-2025-4083: con una puntuación de 8.3 en CVSS v3.1. Existe una vulnerabilidad de aislamiento de procesos en Thunderbird. Un manejo inadecuado de las URI de JavaScript podría permitir habilitar un escape de la zona protegida.

CVE-2025-4087: con una puntuación de 7.6 en CVSS v3.1. Existe una vulnerabilidad en Firefox, donde el análisis de XPath podía provocar un comportamiento indefinido debido a la omisión de comprobaciones nulas durante el acceso a atributos. Esto podría provocar accesos de lectura fuera de los límites y, potencialmente, corrupción de memoria.

CVE-2025-4091: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de corrupción de memoria que podría permitir la ejecución de código arbitrario.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://access.redhat.com/security/cve/CVE-2025-4093
  • https://access.redhat.com/security/cve/CVE-2025-2817
  • https://access.redhat.com/security/cve/CVE-2025-4083
  • https://access.redhat.com/security/cve/CVE-2025-4087
  • https://access.redhat.com/security/cve/CVE-2025-4091