- شناسه CVE-2025-1942 :CVE
- CWE-908 :CWE
- yes :Advisory
- منتشر شده: مارس 4, 2025
- به روز شده: مارس 4, 2025
- امتیاز: 6.5
- نوع حمله: Unknown
- اثر گذاری: Memory Corruption
- حوزه: مرورگرها
- برند: Mozilla
- محصول: Firefox
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در Mozilla Firefox تا نسخه 135 شناسایی شده است. این آسیبپذیری مربوط به تابع String.toUpperCase است. ایجاد تغییرات در ورودی منجر به اشارهگر(pointer) غیرمقداردهیشده میشود. این آسیبپذیری با شناسه CVE-2025-1942 ثبت شده است. حمله از راه دور قابل انجام است. توصیه میشود که نسخه آسیبدیده بهروزرسانی شود.
توضیحات
این مشکل به CWE-908 مرتبط است، که به زمانی اطلاق میشود که نرمافزار به یک اشارهگر که مقداردهی اولیه نشده دسترسی پیدا میکند یا از آن استفاده میکند.
محصول به یک اشارهگر که مقداردهی اولیه نشده است، دسترسی پیدا کرده یا از آن استفاده میکند. این مشکل بر محرمانگی تأثیر میگذارد.
زمانی که تابع String.toUpperCase() منجر به افزایش طول یک رشته شود، ممکن است حافظه غیرمقداردهیشده به رشته نتیجه اضافه شود. این آسیبپذیری بر نسخههای Firefox قبل از 136 تأثیر میگذارد.
اکسپلویت این آسیبپذیری آسان گزارش شده است. حمله میتواند از راه دور انجام شود و نیازی به احراز هویت ندارد. برای موفقیت در حمله، تعامل قربانی مورد نیاز است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected before 136 | Firefox |
| affected before 136 | Thunderbird |
لیست محصولات بروز شده
| Versions | Product |
| 136 | Firefox |
| 136 | Thunderbird |
نتیجه گیری
برای رفع این آسیبپذیری، از نسخه بروزرسانی شده استفاده کنید.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-1942
- https://www.cvedetails.com/cve/CVE-2025-1942/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-14/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-17/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-1942
- https://vuldb.com/?id.298538
- https://nvd.nist.gov/vuln/detail/CVE-2025-1942
- https://cwe.mitre.org/data/definitions/908.html
