ALT-PU-2026-1254-5 — firefox-esr

BDU:2025-16356

HIGH7.5

Уязвимость компонента Downloads Panel браузера Mozilla Firefox и почтового клиента Thunderbird, позволяющая нарушителю проводить спуфинг-атаки

Опубликовано: 2025-12-25Изменено: 2026-05-25

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:C/A:N

Ссылки

BDU:2026-00525

HIGH8.1

Уязвимость браузеров Mozilla Firefox, Firefox ESR, почтовых клиентов Thunderbird и Thunderbird ESR, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2026-01-18Изменено: 2026-05-25

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0ВЫСОКАЯ 7.6

CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:C/A:C

Ссылки

BDU:2026-03388

MEDIUM5.3

Уязвимость компонента Graphics браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая оказать воздействие на конфиденциальность защищаемой информации

Опубликовано: 2026-03-18Изменено: 2026-05-25

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

Ссылки

BDU:2026-03389

HIGH8.8

Уязвимость компонента IPC браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Опубликовано: 2026-03-18Изменено: 2026-05-25

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

BDU:2026-03390

HIGH8.8

Уязвимость компонента Graphics браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая раскрыть защищаемую информацию

Опубликовано: 2026-03-18Изменено: 2026-05-25

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

BDU:2026-03391

CRITICAL9.8

Уязвимость компонента Graphics браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая раскрыть защищаемую информацию

Опубликовано: 2026-03-18Изменено: 2026-05-25

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

BDU:2026-03392

HIGH8.1

Уязвимость компонента DOM: Security браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти существующие ограничения безопасности

Опубликовано: 2026-03-18Изменено: 2026-05-25

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVSS 2.0КРИТИЧЕСКАЯ 9.4

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:N

Ссылки

BDU:2026-06694

HIGH8.0

Уязвимость веб-браузеров Firefox и Firefox ESR, почтового клиента Thunderbird, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

Опубликовано: 2026-05-12Изменено: 2026-05-26

CVSS 3.xВЫСОКАЯ 8.0

CVSS:3.x/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N

CVSS 2.0ВЫСОКАЯ 7.1

CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:C/A:N

Ссылки

BDU:2026-06695

MEDIUM5.3

Уязвимость веб-браузера Firefox, веб-браузера Firefox ESR, позволяющая нарушителю получить доступ к конфиденциальным данным

Опубликовано: 2026-05-12Изменено: 2026-05-26

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

Ссылки

BDU:2026-06696

CRITICAL9.8

Уязвимость веб-браузеров Firefox и Firefox ESR, почтового клиента Thunderbird, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2026-05-12Изменено: 2026-05-26

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

BDU:2026-06697

MEDIUM6.5

Уязвимость веб-браузеров Firefox ESR и Firefox, почтового клиента Thunderbird, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Опубликовано: 2026-05-12Изменено: 2026-05-26

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

CVSS 2.0СРЕДНЯЯ 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:P

Ссылки

BDU:2026-06698

MEDIUM4.3

Уязвимость веб-браузерjd Firefox ESR и Firefox, почтового клиента Thunderbird, позволяющая нарушителю получить доступ к конфиденциальным данным

Опубликовано: 2026-05-12Изменено: 2026-05-26

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

Ссылки

BDU:2026-06699

MEDIUM5.4

Уязвимость веб-браузеров Firefox ESR и Firefox, почтового клиента Thunderbird, позволяющая нарушителю получить доступ к конфиденциальным данным или вызвать отказ в обслуживании

Опубликовано: 2026-05-12Изменено: 2026-05-26

CVSS 3.xСРЕДНЯЯ 5.4

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L

CVSS 2.0СРЕДНЯЯ 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:P

Ссылки

CVE-2025-14327

HIGH7.5

Spoofing issue in the Downloads Panel component. This vulnerability was fixed in Firefox 146, Thunderbird 146, Firefox ESR 140.7, and Thunderbird 140.7.

Опубликовано: 2025-12-09Изменено: 2026-04-13

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Ссылки

CVE-2026-0877

HIGH8.1

Mitigation bypass in the DOM: Security component. This vulnerability was fixed in Firefox 147, Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Опубликовано: 2026-01-13Изменено: 2026-04-13

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

Ссылки

CVE-2026-0878

HIGH8.0

Sandbox escape due to incorrect boundary conditions in the Graphics: CanvasWebGL component. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Опубликовано: 2026-01-13Изменено: 2026-04-13

CVSS 3.xВЫСОКАЯ 8.0

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N

Ссылки

CVE-2026-0879

CRITICAL9.8

Sandbox escape due to incorrect boundary conditions in the Graphics component. This vulnerability was fixed in Firefox 147, Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Опубликовано: 2026-01-13Изменено: 2026-04-13

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2026-0880

HIGH8.8

Sandbox escape due to integer overflow in the Graphics component. This vulnerability was fixed in Firefox 147, Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Опубликовано: 2026-01-13Изменено: 2026-04-13

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки

CVE-2026-0882

HIGH8.8

Use-after-free in the IPC component. This vulnerability was fixed in Firefox 147, Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Опубликовано: 2026-01-13Изменено: 2026-04-13

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки

CVE-2026-0883

MEDIUM5.3

Information disclosure in the Networking component. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Опубликовано: 2026-01-13Изменено: 2026-04-13

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2026-0884

CRITICAL9.8

Use-after-free in the JavaScript Engine component. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Опубликовано: 2026-01-13Изменено: 2026-04-13

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2026-0885

MEDIUM6.5

Use-after-free in the JavaScript: GC component. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Опубликовано: 2026-01-13Изменено: 2026-04-13

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

Ссылки

CVE-2026-0886

MEDIUM5.3

Incorrect boundary conditions in the Graphics component. This vulnerability was fixed in Firefox 147, Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Опубликовано: 2026-01-13Изменено: 2026-04-13

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2026-0887

MEDIUM4.3

Clickjacking issue, information disclosure in the PDF Viewer component. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Опубликовано: 2026-01-13Изменено: 2026-04-13

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

Ссылки

CVE-2026-0890

MEDIUM5.4

Spoofing issue in the DOM: Copy & Paste and Drag & Drop component. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Опубликовано: 2026-01-13Изменено: 2026-04-13

CVSS 3.xСРЕДНЯЯ 5.4

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L

Ссылки

CVE-2026-0891

HIGH8.1

Memory safety bugs present in Firefox ESR 140.6, Thunderbird ESR 140.6, Firefox 146 and Thunderbird 146. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Опубликовано: 2026-01-13Изменено: 2026-04-13

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

Обновление пакета firefox-esr в ветке sisyphus

Закрытые проблемы (26)

Уязвимость компонента Downloads Panel браузера Mozilla Firefox и почтового клиента Thunderbird, позволяющая нарушителю проводить спуфинг-атаки

Уязвимость компонента Graphics браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая оказать воздействие на конфиденциальность защищаемой информации

Уязвимость компонента Graphics браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая раскрыть защищаемую информацию

Уязвимость компонента Graphics браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая раскрыть защищаемую информацию

Уязвимость компонента DOM: Security браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти существующие ограничения безопасности

Уязвимость веб-браузеров Firefox и Firefox ESR, почтового клиента Thunderbird, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

Уязвимость веб-браузера Firefox, веб-браузера Firefox ESR, позволяющая нарушителю получить доступ к конфиденциальным данным

Уязвимость веб-браузеров Firefox и Firefox ESR, почтового клиента Thunderbird, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость веб-браузерjd Firefox ESR и Firefox, почтового клиента Thunderbird, позволяющая нарушителю получить доступ к конфиденциальным данным

Spoofing issue in the Downloads Panel component. This vulnerability was fixed in Firefox 146, Thunderbird 146, Firefox ESR 140.7, and Thunderbird 140.7.

Mitigation bypass in the DOM: Security component. This vulnerability was fixed in Firefox 147, Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Sandbox escape due to incorrect boundary conditions in the Graphics: CanvasWebGL component. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Sandbox escape due to incorrect boundary conditions in the Graphics component. This vulnerability was fixed in Firefox 147, Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Sandbox escape due to integer overflow in the Graphics component. This vulnerability was fixed in Firefox 147, Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Use-after-free in the IPC component. This vulnerability was fixed in Firefox 147, Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Information disclosure in the Networking component. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Use-after-free in the JavaScript Engine component. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Use-after-free in the JavaScript: GC component. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Incorrect boundary conditions in the Graphics component. This vulnerability was fixed in Firefox 147, Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Clickjacking issue, information disclosure in the PDF Viewer component. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.

Spoofing issue in the DOM: Copy & Paste and Drag & Drop component. This vulnerability was fixed in Firefox 147, Firefox ESR 140.7, Thunderbird 147, and Thunderbird 140.7.