PT-2025-18148 · Mozilla+7 · Firefox Esr+10
Dong-Uk Kim
·
Publicado
2025-04-29
·
Atualizado
2026-04-14
·
CVE-2025-2817
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
Versões do Mozilla Firefox anteriores à 138
Versões do Mozilla Firefox ESR anteriores à 128.10
Versões do Mozilla Firefox ESR anteriores à 115.23
Versões do Thunderbird anteriores à 138
Versões do Thunderbird ESR anteriores à 128.10
Descrição
O mecanismo de atualização no Mozilla Firefox permitia que um processo de usuário de integridade média interferisse no atualizador de nível SYSTEM manipulando o comportamento de bloqueio de arquivo. Ao injetar código no processo com privilégios de usuário, um atacante poderia contornar os controles de acesso pretendidos, habilitando operações de arquivo de nível SYSTEM em caminhos controlados por um usuário sem privilégios e permitindo escalonação de privilégios.
Recomendações
Para versões do Mozilla Firefox anteriores à 138, atualize para a versão 138 ou posterior.
Para versões do Mozilla Firefox ESR anteriores à 128.10, atualize para a versão 128.10 ou posterior.
Para versões do Mozilla Firefox ESR anteriores à 115.23, atualize para a versão 115.23 ou posterior.
Para versões do Thunderbird anteriores à 138, atualize para a versão 138 ou posterior.
Para versões do Thunderbird ESR anteriores à 128.10, atualize para a versão 128.10 ou posterior.
Correção
LPE
Improper Access Control
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Firefox
Firefox Esr
Red Hat
Red Os
Rocky Linux
Suse
Thunderbird
Thunderbird Esr