CVE-2025-5267

چکیده

آسیب‌پذیری clickjacking در نسخه‌های پیش از 139 مرورگر Firefox و 128.11 مرورگر Firefox ESR شناسایی شده است که می‌تواند به مهاجم این امکان را بدهد تا جزئیات کارت‌های پرداخت ذخیره‌شده کاربر را به صفحه‌ای مخرب ارسال کند.

توضیحات

آسیب‌پذیری CVE-2025-5267 مربوط به ضعف در محافظت‌های UI مرورگر Firefox است که به مهاجم این امکان را می‌دهد تا از طریق حملات clickjacking، کاربر را فریب دهد و جزئیات کارت‌های پرداخت ذخیره‌شده را به صفحات مخرب ارسال کند. این حمله به دلیل نادرست بودن نمایش لایه‌های رابط کاربری (UI) رخ می‌دهدکه اطلاعات حساس را پنهان یا جعل می‌کند و در بسیاری از مواقع به‌عنوان بخشی از حملات فیشینگ استفاده می‌شود.

این آسیب‌پذیری به‌صورت بالقوه می‌تواند از راه دور انجام می شود و نیاز به تعامل کاربر دارد، اما نیازی به احراز هویت ندارد. این آسیب پذیری در نسخه‌های قبل از 139 برای Firefox و قبل از 128.11 برای نسخه ESR آن شناسایی شده است. Mozilla این آسیب پذیری را در نسخه‌های جدیدتر برطرف کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

برای محافظت در برابر این آسیب‌پذیری به کاربران توصیه می‌شود در اسرع وقت نسخه‌های قدیمی Firefox و Firefox ESR به آخرین نسخه به‌روزرسانی کنند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-5267
2. https://www.cvedetails.com/cve/CVE-2025-5267/
3. https://www.mozilla.org/en-US/security/advisories/mfsa2025-42/
4. https://www.mozilla.org/en-US/security/advisories/mfsa2025-44/
5. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-5267
6. https://vuldb.com/?id.310369
7. https://nvd.nist.gov/vuln/detail/CVE-2025-5267
8. https://cwe.mitre.org/data/definitions/1021.html