- شناسه CVE-2025-0237 :CVE
- CWE-863 :CWE
- yes :Advisory
- منتشر شده: ژانویه 7, 2025
- به روز شده: ژانویه 13, 2025
- امتیاز: 5.4
- نوع حمله: Unknown
- اثر گذاری: Gain privilege
- برند: Mozilla
- محصول: Firefox
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
این آسیبپذیری در API WebChannel که برای انتقال اطلاعات مختلف بین فرآیندها استفاده میشود، باعث عدم بررسی اصول ارسالشده شده است و به جای آن، اصول ارسالشده را پذیرفته است. این موضوع میتواند منجر به حملات افزایش سطح دسترسی (privilege escalation) شود. این آسیبپذیری نسخههای زیر از مرورگرها و برنامهها را تحت تاثیر قرار میدهد:
Firefox < 134
Firefox ESR < 128.6
Thunderbird < 134
Thunderbird < 128.6
توضیحات
یک تابع ناشناخته از مؤلفه WebChannel API را تحت تاثیر قرار می دهد. ایجاد تغییرات در ورودی منجر به یک ضعف ناشناخته می شود. این آسیب پذیری در دسته CWE-863 طبقه بندی می شود. زمانی که یک بازیگر سعی می کند به منبعی دسترسی پیدا کند یا اقدامی را انجام دهد، محصول باید مجوز موردنیاز را بررسی کند، اما بررسی را به درستی انجام نمی دهد. این به مهاجمان اجازه می دهد تا محدودیت های دسترسی مورد نظر را دور بزنند. محرمانه بودن، یکپارچگی و در دسترس بودن در اثر این آسیب پذیری تحت تأثیر قرار می گیرد. اکسپلویت این آسیب پذیری آسان است.
اسکنر آسیب پذیری Nessus افزونه ای با شناسه 213532 (Mozilla Firefox ESR < 128.6) ارائه می دهد که به تعیین وجود نقص در یک محیط هدف کمک می کند.
CVSS
| Score | Severity | Version | Vector String |
| 5.4 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product | Vendor |
| affected before 134 | Firefox | Mozilla |
| affected before 128.6 | Firefox ESR | Mozilla |
| affected before 134 | Thunderbird | Mozilla |
| affected before 128.6 | Thunderbird | Mozilla |
لیست محصولات بروز شده
| Versions | Product | Vendor |
| 134 | Firefox | Mozilla |
| 128.6 | Firefox ESR | Mozilla |
| 134 | Thunderbird | Mozilla |
| 128.6 | Thunderbird | Mozilla |
نتیجه گیری
برای جلوگیری از سواستفاده بهتر است از موارد بروزرسانی شده استفاده کنید.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-0237
- https://www.cvedetails.com/cve/CVE-2025-0237/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0237
- https://vuldb.com/?id.290609
- https://nvd.nist.gov/vuln/detail/CVE-2025-0237
- https://cwe.mitre.org/data/definitions/863.html
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-02/
