- شناسه CVE-2025-4088 :CVE
- CWE-352 :CWE
- yes :Advisory
- منتشر شده: آوریل 29, 2025
- به روز شده: آوریل 29, 2025
- امتیاز: 6.5
- نوع حمله: Cross Site Request Forgery-CSRF
- اثر گذاری: Unknown
- حوزه: مرورگرها
- برند: Mozilla
- محصول: Firefox
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در نرمافزارMozilla Thunderbird/ Firefox شناسایی شده است. این آسیبپذیری مربوط به بخشی از مؤلفهی Storage Access API است. دستکاری این بخش باعث بروز ضعف در کنترل دسترسی میشود. این آسیبپذیری با شناسه CVE-2025-4088 شناخته میشود و امکان حمله از راه دور وجود دارد.
توضیحات
این آسیبپذیری امنیتی در Mozilla Thunderbird/ Firefox به وبسایتهای مخرب اجازه میداد با استفاده از ریدایرکتها، درخواستهای دارای اطلاعات احراز هویت را به هر نقطهای از هر سایتی که از Storage Access API استفاده کرده بود، ارسال کنند. این موضوع میتوانست زمینهساز حملات CSRF بین دامنهای باشد. طبق دستهبندی CWE، این آسیبپذیری تحت عنوان CWE-352 قرار میگیرد. این آسیبپذیری بر یکپارچگی سیستم تأثیر میگذارد.
اکسپلویت این آسیب پذیری آسان است و میتوان آن را از راه دور اجرا کرد. برای اکسپلویت موفق، نیازی به احراز هویت نیست، اما نیازمند تعامل کاربر و قربانی میباشد.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected before 138 | Firefox |
| affected before 138 | Thunderbird |
لیست محصولات بروز شده
| Versions | Product |
| 138 | Firefox |
| 138 | Thunderbird |
نتیجه گیری
برای جلوگیری از نفوذ از نسخه های بروزرسانی شده استفاده کنید.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-4088
- https://www.cvedetails.com/cve/CVE-2025-4088/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-28/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-4088
- https://vuldb.com/?id.306546
- https://vuldb.com/?id.306545
- https://nvd.nist.gov/vuln/detail/CVE-2025-4088
- https://cwe.mitre.org/data/definitions/352.html
