CVE-2026-44658

Nome do Software Vulnerável e Versões Afetadas Zen versões anteriores a 1.19.12b

Descrição Na função promptForFeedUrl(), as URLs de feeds RSS inseridas pelo usuário são validadas para garantir que utilizem os protocolos http: ou https:. No entanto, os links de itens dentro do feed não estão sujeitos a essa restrição. O provedor mapeia cada link de item RSS/Atom em item.url, filtrando apenas a presença e a data. Posteriormente, o gerenciador de pastas ao vivo cria abas suspensas fixadas usando esses valores através de gBrowser.addTrustedTab(item.url, ...), o que pode levar à execução de protocolos não autorizados.

Recomendações Atualize para a versão 1.19.12b.