Mozilla - CVE-2026-12294
Date de publication :
Il s'agit d'une vulnérabilité d'échappement de bac à sable dans le composant DOM:Workers de Firefox et Thunderbird.
Mozilla Firefox est un navigateur web open source multiplateforme. Firefox ESR (Extended Support Release) est la variante à cycle de mise à jour long, destinée aux environnements d'entreprise. Thunderbird est le client de messagerie bureautique de Mozilla, basé sur le même moteur de rendu.
Les Web Workers s'exécutent normalement dans un contexte isolé du document principal. Un défaut dans la gestion de ce contexte permet à du code JavaScript malveillant de franchir les limites du bac à sable des workers.
Elle permet le contournement de la politique de sécurité du navigateur et potentiellement l'exécution de code arbitraire hors du contexte isolé.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
CWE-284 : Improper Access Control
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Solutions ou recommandations
• Firefox ESR version 140.12 et supérieures (branche 140.x)
• Firefox ESR version 115.37 et supérieures (branche 115.x)
• Thunderbird version 152 et supérieures
• Thunderbird ESR version 140.12 et supérieures (branche 140.x)