Mozilla - CVE-2026-8090

Date de publication :

Il s'agit d'une vulnérabilité de type use-after-free dans le composant DOM : Networking de Firefox et Thunderbird.

Mozilla Firefox est un navigateur web open-source multiplateforme. Firefox ESR (Extended Support Release) est la version à cycle de support allongé destinée aux environnements d'entreprise. Thunderbird est un client de messagerie open-source partageant le même moteur Gecko que Firefox.

Une zone mémoire libérée reste accessible et peut être manipulée par un attaquant via le rendu de contenu web. Ce type de corruption mémoire peut conduire à une exécution de code arbitraire dans le processus de contenu du navigateur. Pour Thunderbird, Mozilla précise que le vecteur email est inopérant car les scripts sont désactivés à la lecture des messages, mais le risque persiste dans les contextes de navigation intégrés.

Elle permet à un attaquant distant d'exécuter du code arbitraire sur le poste de l'utilisateur via une page web ou un contenu web malveillant.

CVE-2026-8090

[Score CVSS v3.1 : 7.3]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-416 : Use After Free

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Firefox versions antérieures à 150.0.2
•   Firefox ESR versions antérieures à 115.35.2
•   Firefox ESR versions 128.0 jusqu'à 140.10.1 incluses
•   Thunderbird versions antérieures à 150.0.2
•   Thunderbird ESR versions antérieures à 140.10.2

Solutions ou recommandations

•   Firefox version 150.0.2 et supérieure
•   Firefox ESR version 115.35.2 et supérieure
•   Firefox ESR version 140.10.2 et supérieure
•   Thunderbird version 150.0.2 et supérieure
•   Thunderbird ESR version 140.10.2 et supérieure

Liens