CVE-2026-4689
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 47 - wyżej niż 47% wszystkich znanych CVE
Streszczenie
Podatność umożliwia ucieczkę z sandboksa z powodu nieprawidłowych warunków brzegowych i przepełnienia liczb całkowitych w komponencie XPCOM. Luka została naprawiona w przeglądarce Firefox 149 oraz wersjach ESR 115.34 i 140.9, a także w kliencie pocztowym Thunderbird 149 i 140.9.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do opuszczenia izolowanego środowiska sandboksa, co może prowadzić do wykonania dowolnego kodu poza ograniczeniami przeglądarki i eskalacji uprawnień w systemie.
Rekomendacja
Niezwłocznie zaktualizuj przeglądarkę Firefox do wersji 149 lub nowszej, a wersje ESR do 115.34/140.9 oraz Thunderbirda do 149/140.9. Priorytetowo potraktuj systemy, w których uruchamiana jest nieznana treść.
Oryginalny opis (angielski, źródło NVD)
Sandbox escape due to incorrect boundary conditions, integer overflow in the XPCOM component. This vulnerability was fixed in Firefox 149, Firefox ESR 115.34, Firefox ESR 140.9, Thunderbird 149, and Thunderbird 140.9.

