- شناسه CVE-2025-5266 :CVE
- CWE-200 :CWE
- yes :Advisory
- منتشر شده: می 27, 2025
- به روز شده: می 27, 2025
- امتیاز: 6.5
- نوع حمله: Unknown
- اثر گذاری: Information Disclosure
- حوزه: مرورگرها
- برند: Mozilla
- محصول: Firefox
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در مرورگر فایرفاکس شناسایی شده است که مربوط به افشای اطلاعات در هنگام بارگذاری منابع از دامنههای خارجی توسط المنت های اسکریپت است. این رویدادها میتوانند اطلاعاتی درباره وضعیت بارگذاری منابع فاش کرده و منجر به حملات XS-Leaks شوند.
توضیحات
در نسخههای قدیمی Firefox و Firefox ESR، هنگامی که المنت های اسکریپت منابعی از دامنههای دیگر بارگذاری می کنند، رویدادهای load و error ایجاد میشود. این عملکرد باعث افشای اطلاعاتی در مورد موفق یا ناموفق بودن بارگذاری این منابع میشود. مهاجم میتواند از این اطلاعات برای انجام حملاتی از نوع XS-Leaks استفاده کرده و با استفاده از تفاوت در پاسخها و رویدادها به اطلاعات حساس دسترسی یابد.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected before 139 | Firefox |
| affected before 128.11 | Firefox ESR |
لیست محصولات بروز شده
| Versions | Product |
| 139 | Firefox |
| 128.11 | Firefox ESR |
نتیجه گیری
به کاربران توصیه می شود برای جلوگیری از افشای اطلاعات، مرورگر خود را به آخرین نسخه بهروزرسانی نمایند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-5266
- https://www.cvedetails.com/cve/CVE-2025-5266/
- https://www.mozilla.org/security/advisories/mfsa2025-42/
- https://www.mozilla.org/security/advisories/mfsa2025-44/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-5266
- https://vuldb.com/?id.310361
- https://nvd.nist.gov/vuln/detail/CVE-2025-5266
- https://cwe.mitre.org/data/definitions/200.html
