Mozilla - CVE-2026-4688
Date de publication :
Il s'agit d'une vulnérabilité de type use-after-free dans le composant Disability Access APIs de Firefox,
Firefox est un navigateur web open source. Firefox ESR est sa variante à support étendu, destinée aux environnements nécessitant une stabilité prolongée. Thunderbird est un client de messagerie open source.
Firefox ESR et Thunderbird. Ce composant gère les interfaces d'accessibilité exposées au système d'exploitation. Un accès à une zone mémoire libérée survient lors de l'interaction avec ces APIs.
Elle permet à un attaquant d'échapper au sandbox du navigateur et potentiellement d'exécuter du code arbitraire avec les privilèges du processus parent.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-416 : Use After Free
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Firefox versions antérieures à 149
• Firefox ESR versions antérieures à 140.9
• Thunderbird versions antérieures à 149
• Thunderbird ESR versions antérieures à 140.9
Solutions ou recommandations
• Firefox ESR version 140.9 et supérieures
• Thunderbird version 149 et supérieures
• Thunderbird ESR version 140.9 et supérieures