- شناسه CVE-2025-0238 :CVE
- CWE-416 :CWE
- yes :Advisory
- منتشر شده: ژانویه 7, 2025
- به روز شده: ژانویه 13, 2025
- امتیاز: 5.3
- نوع حمله: Unknown
- اثر گذاری: Memory Corruption
- برند: Mozilla
- محصول: Firefox
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
با فرض تخصیص حافظه کنترلشده که به شکست منجر شود، یک مهاجم میتواند از حافظه پس از آزادسازی آن استفاده کند (Use-After-Free) که میتواند به یک کرش قابل اکسپلویت(exploitable crash) منجر شود.
توضیحات
یک آسیب پذیری در موزیلا فایرفاکس تا نسخه 133.x یافت شد. این آسیب پذیری روی کدهای ناشناخته تأثیر می گذارد. حمله را می توان از راه دور(Remotely) شروع کرد. این آسیب پذیری بر یک بلوک کد ناشناخته تأثیر می گذارد. این آسیب پذیری در دسته CWE-416 طبقه بندی می شود. ارجاع به حافظه پس از آزاد شدن می تواند باعث از کار افتادن برنامه، استفاده از مقادیر غیرمنتظره یا اجرای کد شود. این مشکل بر محرمانه بودن، یکپارچگی و در دسترس بودن تأثیر می گذارد.
اکسپلویت این آسیبپذیری آسان گزارش شده است و حمله از راه دور(Attack Remotely) امکانپذیر است. برای اکسپلویت این آسیبپذیری، نیازی به احراز هویت وجود ندارد، اما قربانی باید نوعی تعامل با مهاجم انجام دهد.
اسکنر امنیتی Nessus یک پلاگین با شناسه 213532 (برای فایرفاکس ESR کمتر از نسخه 128.6) ارائه داده است که میتواند وجود این آسیبپذیری را در یک محیط هدف شناسایی کند.
CVSS
| Score | Severity | Version | Vector String |
| 5.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
لیست محصولات آسیب پذیر
| Versions | Product | Vendor |
| affected before 134 | Firefox | Mozilla |
| affected before 128.6 | Firefox ESR | Mozilla |
| affected before 115.19 | Firefox ESR | Mozilla |
| affected before 134 | Thunderbird | Mozilla |
| affected before 128.6 | Thunderbird | Mozilla |
لیست محصولات بروز شده
| Versions | Product | Vendor |
| 134 | Firefox | Mozilla |
| 128.6 | Firefox ESR | Mozilla |
| 115.19 | Firefox ESR | Mozilla |
| 134 | Thunderbird | Mozilla |
| 128.6 | Thunderbird | Mozilla |
نتیجه گیری
برای جلوگیری از نفوذ بهتر است از موارد بروزرسانی شده استفاده کنید.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-0238
- https://www.cvedetails.com/cve/CVE-2025-0238/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0238
- https://vuldb.com/?id.290673
- https://nvd.nist.gov/vuln/detail/CVE-2025-0238
- https://cwe.mitre.org/data/definitions/416.html
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-03/
