Se han descubierto vulnerabilidades de severidad crítica en productos Mozilla Thunderbird. Un actor malicioso podría ejecutar código arbitrario, escapar del entorno aislado (sandbox) o provocar una denegación de servicio (DoS).
Productos afectados
- Mozilla Thunderbird: versiones anteriores a 145
- Mozilla Thunderbird ESR: versiones anteriores a 140.5
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025–13021: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de escritura fuera de los límites debido a condiciones de límite incorrectas en el componente Graphics (WebGPU). Un actor malicioso podría aprovechar esta vulnerabilidad para corromper la memoria y ejecutar código arbitrario.
CVE-2025–13023: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de escape del sandbox provocada por condiciones de límite incorrectas en el componente Graphics (WebGPU). Un actor malicioso podría evadir las restricciones de seguridad del entorno aislado y acceder al sistema subyacente.
CVE-2025–13012: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de condición de carrera (race condition) en el componente Graphics. Un actor malicioso podría explotar esta vulnerabilidad para causar un bloqueo del sistema o potencialmente ejecutar código.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-13021
- https://www.cve.org/CVERecord?id=CVE-2025-13023
- https://www.cve.org/CVERecord?id=CVE-2025-13012
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-90/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-91/