- شناسه CVE-2026-6770 :CVE
- CWE-200 :CWE
- yes :Advisory
- منتشر شده: آوریل 21, 2026
- به روز شده: آوریل 21, 2026
- امتیاز: 6.3
- نوع حمله: Information Exposure
- اثر گذاری: Information Disclosure
- حوزه: مرورگرها
- برند: Mozilla
- محصول: Firefox
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در کامپوننت IndexedDB محصولات Firefox و Thunderbird شرکت موزیلا شناسایی شده است که میتواند منجر به افشای اطلاعات شود. این ضعف در بخش ذخیرهسازی دادههای مرورگر (Storage: IndexedDB) رخ میدهد و امکان دسترسی غیرمجاز به بخشی از اطلاعات ذخیرهشده را فراهم کند.
توضیحات
آسیبپذیری CVE-2026-6770 در کامپوننت IndexedDB محصولات Firefox و Thunderbird موزیلا شناسایی شده است و در دسته افشای اطلاعات حساس برای عامل غیرمجاز مطابق با CWE-200 قرار میگیرد. این دسته از آسیبپذیریها به ضعفهایی اشاره دارد که در آن اطلاعاتی که باید فقط در اختیار کاربران، پردازهها یا بخشهای مجاز قرار داشته باشند، در شرایط خاص در معرض دسترسی غیرمجاز قرار میگیرند. این اطلاعات میتوانند شامل دادههای ذخیرهشده توسط برنامههای وب، متادیتا، تنظیمات کاربری، نتایج پردازش یا سایر دادههایی باشند که افشای آنها میتواند زمینه سوءاستفادههای بعدی را فراهم کند.
این آسیبپذیری در کامپوننت IndexedDB رخ داده است. IndexedDB یک رابط برنامهنویسی کاربردی (API) در مرورگرهای وب است که امکان ذخیره و مدیریت حجم زیادی از دادهها را در دستگاه کاربر فراهم میکند. برنامههای تحت وب مدرن از این قابلیت برای ذخیرهسازی دادههای آفلاین، تنظیمات کاربری، اطلاعات برنامه، وضعیت برنامه و دادههایی استفاده میکنند که باید پس از بسته شدن مرورگر نیز در دسترس باقی بمانند. به همین دلیل، هرگونه ضعف امنیتی در این کامپوننت میتواند بر محرمانگی دادههای ذخیرهشده در محیط مرورگر تأثیر بگذارد.
اطلاعات منتشرشده در بردار CVSS نشان میدهد که سوءاستفاده از این ضعف از طریق شبکه (Network) امکانپذیر است و مهاجم برای آغاز حمله به سطح دسترسی قبلی نیاز ندارد. همچنین سوءاستفاده از آسیبپذیری نیازمند اقدام تعاملی خاصی از سوی کاربر، مانند کلیک روی لینک، وارد کردن داده یا انجام عملیات دستی در فرآیند حمله نیست. این ویژگیها بیانگر آن است که در صورت مشخص شدن روش عملی سوءاستفاده، اجرای حمله برای مهاجم دشوار نخواهد بود و بدون نیاز به دسترسی اولیه، پیکربندیهای خاص یا شرایط پیچیده، میتواند حتی بهصورت خودکار انجام شود.
از منظر اثرگذاری امنیتی، مهمترین پیامد این آسیبپذیری نقض محرمانگی اطلاعات (Confidentiality) است. بر اساس ارزیابی CVSS، سوءاستفاده موفق از این ضعف میتواند امکان دسترسی به بخشی از اطلاعاتی را فراهم کند که باید صرفاً در اختیار بخشها یا پردازههای مجاز مرورگر قرار داشته باشند. علاوه بر این، بردار CVSS وجود تأثیر محدود بر دسترسپذیری (Availability) را نیز نشان میدهد؛ موضوعی که میتواند در برخی شرایط باعث اختلال محدود در عملکرد کامپوننت آسیبپذیر شود.
موزیلا این آسیبپذیری را در مجموعه بهروزرسانیهای امنیتی منتشرشده در آوریل 2026 پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L |
شکل 1: تفسیر جدول CVSS
لیست محصولات آسیب پذیر
| Versions | Product |
| before 150 | Firefox |
| before 140.10 | Firefox ESR |
| before 150 | Thunderbird |
| before 140.10 | Thunderbird |
لیست محصولات بروز شده
| Versions | Product |
| 150 | Firefox |
| 140.10 | Firefox ESR |
| 150 | Thunderbird |
| 140.10 | Thunderbird |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Mozilla، Firefox و Thunderbird را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google (Total Pages) | Search Query (Dork) | Product |
| 554,000 | site:.ir “Mozilla” | Mozilla |
| 699,000 | site:.ir “Firefox” | Firefox |
| 197,000 | site:.ir “Thunderbird” | Thunderbird |
نتیجه گیری
این آسیبپذیری با شدت متوسط در کامپوننت IndexedDB مرورگر Firefox و نرمافزار Thunderbird میتواند منجر به افشای اطلاعات شود. برای کاهش ریسک ناشی از این آسیبپذیری، اجرای اقدامات زیر توصیه میشود:
- بهروزرسانی فوری محصولات موزیلا: تمامی سامانههای آسیبپذیر باید در اسرع وقت به نسخههای Firefox 150، Firefox ESR 140.10، Thunderbird 150 و Thunderbird 140.10 یا نسخههای جدیدتر بهروزرسانی شوند. نصب پچ امنیتی ارائهشده توسط موزیلا مؤثرترین راهکار رفع این ضعف است. سایر راهکارهای امنیتی نقش مکمل داشته و میتوانند ریسک سوءاستفاده از این آسیبپذیری و تهدیدات مشابه را کاهش دهند.
- استفاده از برنامه مدیریت پچهای امنیتی: سازمانها باید فرآیند منظمی برای مانیتورینگ و استقرار بهروزرسانیهای امنیتی مرورگرها و نرمافزارهای ارتباطی داشته باشند تا فاصله زمانی میان انتشار پچ و نصب آن به حداقل برسد.
- اعمال سیاستهای امنیتی در مرورگر: محدودسازی اجرای محتوای فعال، مدیریت افزونههای مرورگر و اعمال سیاستهای امنیتی مرورگر در محیطهای سازمانی میتواند احتمال سوءاستفاده از آسیبپذیریهای سمت کلاینت را کاهش دهد.
- پرهیز از دسترسی به منابع وب غیرقابل اعتماد: کاربران باید از بازدید وبسایتهای ناشناس یا غیرمطمئن خودداری کنند، زیرا بسیاری از سناریوهای سوءاستفاده از آسیبپذیریهای مرورگر از طریق محتوای وب مخرب آغاز میشوند.
- نظارت بر رخدادهای امنیتی در سامانههای کاربری: استفاده از راهکارهای مانیتورینگ امنیتی در سطح Endpoint و ثبت لاگهای امنیتی میتواند به شناسایی عملکردهای غیرعادی یا فعالیتهای مشکوک مرتبط با سوءاستفاده از آسیبپذیریهای مرورگر کمک کند.
- اعمال اصل حداقل دسترسی: کاربران و نرمافزارها باید تنها به دادهها و منابعی دسترسی داشته باشند که برای انجام وظایف خود به آن نیاز دارند تا در صورت وقوع رخداد امنیتی، دامنه تأثیر محدود شود.
اجرای این اقدامات، بهویژه نصب نسخههای بهروزرسانیشده مرورگر، میتواند ریسک سوءاستفاده از این آسیبپذیری و سایر ضعفهای مشابه در کامپوننت ذخیرهسازی مرورگر را به میزان قابل توجهی کاهش دهد.
امکان استفاده در تاکتیکهای Mitre Attack (در زمان اجرای حمله)
Initial Access (TA0001)
برای بهره برداری از این آسیبپذیری، صرفاً بارگذاری صفحه وب، شرط لازم برای شروع حمله است. کافی است کاربر از یک وبسایت مخرب بازدید کند این کار معمولاً از طریق فیشینگ، تبلیغات مخرب یا لینکهای آلوده انجام میشود یا یک ایمیل HTML آلوده را در Thunderbird باز کند. تنها دسترسی مهاجم به محیط مرورگر قربانی برای خواندن دادههای IndexedDB کافی است.
Execution (TA0002)
کد مخرب به صورت جاوا اسکریپت استاندارد در زمینه (Context) مرورگر اجرا میشود. پس از بارگذاری صفحه، اسکریپت مهاجم به صورت خودکار شروع به ایجاد پایگاهدادههای IndexedDB با نامهای مشخص و سپس فراخوانی تابع indexedDB.databases میکند.
Persistence (TA0003)
اطلاعات استخراج شده حتی زمانی که فرآیند مرورگر به طور کامل بسته شود، پایدار میماند.
Defense Evasion (TA0005)
تمام عملیات این حمله از طریق APIهای کاملاً قانونی و استاندارد مرورگر (indexedDB.databases) انجام میشود. ترافیک شبکه و رفتار جاوا اسکریپت دقیقاً شبیه به یک وبسایت معمولی است، بنابراین آنتیویروسها و سیستمهای تشخیص نفوذ (IDS/IPS) به راحتی آن را به عنوان یک رفتار مخرب شناسایی نمیکنند.
Discovery (TA0007)
مهاجم میتواند از طریق سایت مخرب خود، ترتیب خروجی دیتابیسهای IndexedDB را بخواند. این عمل از دید کاربر کاملاً مخفی است و نیازی به هیچ تعاملی (مانند کلیک روی دکمه) با کاربر ندارد. هدف اصلی مهاجم، کشف اطلاعات درباره وضعیت داخلی فرآیند مرورگر است. مرورگر نام پایگاه دادهها را به صورت مرتب نشده و بر اساس ساختار داخلی Hash Table برمیگرداند. این ترتیب، یک امضای منحصربه فرد و پایدار برای کل فرآیند مرورگر ایجاد میکند. اسکریپت مهاجم به صورت خودکار این ترتیب (Order) را جمع آوری می کند. این داده ها به مهاجم اجازه میدهد تا فعالیت های کاربر را در سایت های مختلف یا حتی پس از بستن مرورگر ردیابی کند.
Impact (TA0040)
تأثیر این آسیب پذیری نقض کامل حریم خصوصی (Privacy Violation) است. این حمله مکانیزم های Unlinkability (عدم قابلیت پیوندزنی) را که هسته اصلی مرورگرهستند، از بین می برد. مهاجم می تواند یک شناسه منحصربه فرد از دستگاه کاربر بسازد و هویت او را ردیابی کند و رفتار کاربر را در سایت های مختلف به هم متصل کند. این امر محرمانگی (Confidentiality) فعالیت های وب کاربر را به شدت تحت الشعاع قرار میدهد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2026-6770
- https://www.cvedetails.com/cve/CVE-2026-6770/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2026-6770
- https://vuldb.com/vuln/358470
- https://www.mozilla.org/security/advisories/mfsa2026-30/
- https://www.mozilla.org/security/advisories/mfsa2026-32/
- https://www.mozilla.org/security/advisories/mfsa2026-33/
- https://www.mozilla.org/security/advisories/mfsa2026-34/
- https://nvd.nist.gov/vuln/detail/CVE-2026-6770
- https://cwe.mitre.org/data/definitions/200.html
گزارش اثبات آسیبپذیری CVE-2026-6770
اطلاعات آسیبپذیری
عنوان: افشای اطلاعات (Information Disclosure) در مؤلفه IndexedDB مرورگر Mozilla Firefox
شناسه: CVE-2026-6770
وضعیت مشاوره: Advisory / Patch Available
امتیاز: CVSS: 6.5 (Medium)
محصول: Mozilla Firefox / Firefox ESR / Thunderbird
محصول / نسخههای آسیبپذیر
در نسخههای زیر:
- Firefox نسخههای قبل از 150
- Firefox ESR نسخههای قبل از 140.10
- Thunderbird نسخههای قبل از 150
- Thunderbird ESR نسخههای قبل از 140.10
محیطهای درگیر
- کاربران مرورگر Mozilla Firefox (دسکتاپ و موبایل)
- کاربران Thunderbird
- کاربران نسخه ESR سازمانی Firefox
- سازمانهایی که از Firefox ESR در زیرساخت خود استفاده میکنند
- سازمانهایی که از برنامههای تحت وب مبتنی بر IndexedDB استفاده میکنند
- سامانههایی که از IndexedDB برای ذخیره دادههای حساس برنامههای وب استفاده میکنند
- محیطهایی که دادههای حساس در مرورگر ذخیره میشوند
کامپوننتهای آسیبپذیر
- مؤلفه Storage: IndexedDB – سیستم ذخیرهسازی سمت کاربر مرورگر
- IndexedDB API
- Mozilla Storage Engine – هسته مدیریت دادههای ذخیرهشده وباپلیکیشنها
- زیرسیستم ذخیرهسازی سمت کاربر (Client-Side Storage)
- مکانیزم مدیریت و دسترسی به پایگاه داده IndexedDB
ریشه مشکل (Root Cause Analysis)
این آسیب پذیری به عنوان “Other issue” در مؤلفه Storage: IndexedDB طبقهبندی شده است. IndexedDB یک API ذخیرهسازی سمت کاربر (client-side) در مرورگر است که به وبسایتها اجازه میدهد مقادیر قابل توجهی از دادههای ساخته شده را به صورت محلی روی دستگاه کاربر ذخیره کنند.
طبق اطلاعات منتشرشده توسط Mozilla، آسیبپذیری در مؤلفه IndexedDB قرار دارد و میتواند منجر به افشای اطلاعات شود. جزئیات فنی کامل توسط توسعهدهنده منتشر نشده است، اما ماهیت آسیبپذیری نشان میدهد که مدیریت دادهها یا کنترل دسترسی در فرآیندهای مرتبط با IndexedDB بهدرستی انجام نمیشود.
مهاجم میتواند از طریق تعامل با دادههای ذخیرهشده در IndexedDB یا دسترسی غیرمجاز به ساختارهای ذخیرهسازی مرورگر، بخشی از اطلاعات حساس را مشاهده یا استخراج کند.
از آنجا که Mozilla جزئیات فنی دقیق را افشا نکرده است، تحلیل فوق بر اساس نوع ضعف ثبتشده و مؤلفه آسیبدیده ارائه شده است.
بخش آسیبپذیر
رفتار ناامن سیستم:
در نسخههای آسیبپذیر Firefox، مؤلفه IndexedDB محدودیتهای دسترسی به دادههای ذخیرهشده توسط وبسایتهای مختلف را بهدرستی اعمال نمیکند. این نقص میتواند به مهاجم اجازه دهد به دادههای ذخیرهشده توسط سایر وبسایتها دسترسی پیدا کند یا اطلاعات حساس را از طریق مکانیزمهای ذخیرهسازی بدون مجوز مناسب بخواند.
نحوه سوءاستفاده مهاجم:
- مهاجم یک وبسایت مخرب راهاندازی میکند یا کد مخرب را به یک وبسایت قانونی تزریق میکند
- کاربر از طریق مرورگر آسیبپذیر از آن وبسایت بازدید میکند (بدون نیاز به تعامل اضافی)
- کد مخرب از طریق IndexedDB API سعی در دسترسی به دادههای ذخیرهشده توسط دامنههای دیگر میکند
- به دلیل نقص در اعتبارسنجی مبدأ (origin validation)، مرورگر به اشتباه دسترسی را تأیید میکند
- مهاجم میتواند بخشی از دادههای ذخیرهشده در مرورگر را استخراج کند
نقش این آسیبپذیری در زنجیره حمله
این آسیبپذیری یک نقطه جمعآوری اطلاعات (Information Collection) و نقض حریم خصوصی (Privacy Violation) در زنجیره حمله محسوب میشود. با توجه به نمره CVSS 6.5 (متوسط)، ماهیت شبکهای، بدون نیاز به تعامل کاربر، و قابلیت بهرهبرداری از طریق وبسایتهای مخرب، مهاجم میتواند دادههای ذخیرهشده توسط سایر وبسایتها را بخواند. دادههای IndexedDB معمولاً شامل موارد زیر است:
- دادههای آفلاین برنامههای وب (مانند ایمیلهای ذخیرهشده، اسناد، فایلها)
- دادههای ذخیرهشده برنامههای تحت وب
- شناسههای نشست (Session Data)
- اطلاعات کاربران
- دادههای مرتبط با احراز هویت
پیشنیازهای بهرهبرداری (Prerequisites)
- استفاده از نسخه آسیبپذیر Firefox یا Thunderbird
- دسترسی مهاجم به اجرای محتوای وب
- وجود دادههای ارزشمند در IndexedDB
- عدم نصب وصله امنیتی
رفتار مورد انتظار در حالت امن (Expected Secure Behavior)
- IndexedDB باید دسترسی به پایگاههای داده را تنها به دامنهای که آن پایگاه را ایجاد کرده محدود کند (Same-Origin Policy)
- قبل از اعطای دسترسی خواندن/نوشتن به دادههای IndexedDB، مبدأ درخواستکننده باید به طور کامل و صحیح احراز هویت شود
- حتی در صورت وجود اشکال در پیادهسازی، مرورگر نباید اجازه دسترسی به دادههای ذخیرهشده توسط دامنههای دیگر را بدهد
- در صورت بروز خطا در فرآیند اعتبارسنجی، دسترسی به طور پیشفرض رد شود (اصل Fail Secure)
- محدودسازی دسترسی صفحات وب به دادههای سایر Context ها
- جلوگیری از نشت اطلاعات میان Origin های مختلف
راهکارها و کاهش ریسک (Mitigation / Patch Guidance)
اقدامات فوری برای کاهش ریسک:
- بهروزرسانی فوری مرورگر Firefox به نسخه 150 یا بالاتر
- بهروزرسانی Firefox ESR به نسخه 140.10 یا بالاتر
- بهروزرسانی Thunderbird به نسخه 150 یا بالاتر
- کاربرانی که از بهروزرسانی خودکار استفاده نمیکنند، باید هرچه سریعتر بهروزرسانی دستی را انجام دهند
اقدامات کوتاهمدت / میانمدت برای کاهش ریسک:
- در سازمانهایی که از Firefox ESR استفاده میکنند، پچ را از طریق سیستم مدیریت بهروزرسانی (مانند WSUS یا مدیریت مرورگر سازمانی) اعمال کنید
- آموزش کاربران در مورد خطرات وبسایتهای ناشناس
- استفاده از افزونههای امنیتی که دسترسی به IndexedDB را برای دامنههای ناشناس محدود میکنند
- حذف دادههای غیرضروری ذخیرهشده در مرورگر
- محدود کردن استفاده از مرورگرهای قدیمی
اقدامات بلندمدت برای کاهش ریسک:
- استقرار راهکارهای خودکار بهروزرسانی امنیتی (Patch Management) برای اعمال سریع وصلهها
- پیادهسازی فرآیندهای منظم تست نفوذ
- پیادهسازی سیاستهای امنیت مرورگر (Browser Security Policies) برای محدود کردن قابلیتهای وبسایتهای ناشناس
تشخیص و مانیتورینگ (Detection & Monitoring)
نشانههای تلاش برای سوءاستفاده:
- تلاش برای دسترسی به IndexedDB از دامنههای غیرمرتبط در کنسول توسعهدهنده مرورگر
- اجرای کدهای مشکوک در وبسایتها که با IndexedDB API تعامل دارند
- الگوهای غیرعادی خواندن دادههای IndexedDB در زمانهای کوتاه
- گزارشهای کاربران از رفتار غیرمنتظره وبسایتها
- دسترسی غیرعادی به IndexedDB
- افزایش حجم درخواستهای JavaScript مرتبط با Storage API
- استخراج غیرمعمول دادههای سمت کاربر
منابع پیشنهادی برای مانیتورینگ و پایش:
- Browser Developer Logs
- سیستمهای SIEM برای جمعآوری گزارشهای امنیتی مرورگر
- ابزارهای EDR Solutions برای شناسایی رفتارهای غیرعادی مرورگر
- راهکارهای SIEM، برای جمعآوری و تحلیل مرکزی لاگها
واکنش به حادثه (Incident Response)
- پاک کردن دادههای IndexedDB مرورگر
- بهروزرسانی مرورگر به آخرین نسخه
- بررسی فعالیتهای غیرعادی در حسابهای کاربری آنلاین (ورود از مکانهای ناشناس، تغییرات غیرمجاز)
- جمعآوری لاگهای مرورگر
- تغییر رمزهای عبور کاربران
- نصب فوری وصله امنیتی
- بررسی احتمال استخراج اطلاعات
- مستندسازی کامل حادثه (زمان وقوع، نشانهها، اقدامات انجامشده، درسآموختهها) و گزارش به مدیریت ارشد و تیم واکنش سریع (CSIRT)
جریان حمله (Attack Flow)
در نمودار زیر (شکل ۱)، مهاجم با هدایت کاربر به یک وبسایت مخرب، از طریق نقص در IndexedDB به دادههای ذخیرهشده توسط سایر دامنهها دسترسی پیدا میکند.
شکل 1: جریان اجرای آسیب پذیری
اثبات مفهوم (PoC) — کاملاً غیرمخرب
آزمایشگاه تخصصی Vulnerbyte، این آسیبپذیری را در محیط ایزوله و کنترلشده با استفاده از نسخه آسیبپذیر بررسی و اجرا کرده است
- این آزمایشگاه شامل نسخه آسیبپذیر Firefox است
- فایل poc.html نشان می دهد که مؤلفه IndexedDB قادر به افشای بخشی از دادههای ذخیرهشده است
فایل poc.html نحوهی سوءاستفاده از CVE-2026-6770 برای ایجاد اثر انگشت دیجیتال (Fingerprinting) مرورگر را نشان میدهد. ترتیب ثابت خروجی یک مقدار هش منحصربهفرد (Fingerprint) برای هر سشن مرورگر ایجاد میکند. این مقدار حتی پس از استفاده باز و بسته کردن مرورگر نیز تغییر نمیکند. ولی در هر بار باز و بسته کردن مرورگر در حالت مرور خصوصی (Private Browsing) تغییر می کند.
- اجرای PoC در محیط آزمایشگاهی منجر به افشای بخشی از دادههای ذخیرهشده در سامانه آسیبپذیر شد.
- این اثبات مفهوم صرفاً توصیفی و آموزشی بوده و شامل تغییرات مخرب نمیشود
شکل 2: اجرای POC
رفع مسئولیت
این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوبهای قانونی از محتوای آن ممنوع است.
منابع
https://www.cve.org/CVERecord?id=CVE-2026-6770
https://nvd.nist.gov/vuln/detail/CVE-2026-6770
https://cwe.mitre.org/data/definitions/20.html
https://cwe.mitre.org/data/definitions/440.html
https://cwe.mitre.org/data/definitions/200.html
https://www.mozilla.org/en-US/security/advisories/mfsa2026-30/#CVE-2026-6770
https://www.mozilla.org/en-US/security/advisories/mfsa2026-32/#CVE-2026-6770
https://www.mozilla.org/en-US/security/advisories/mfsa2026-33/#CVE-2026-6770
https://www.mozilla.org/en-US/security/advisories/mfsa2026-34/#CVE-2026-6770
https://github.com/nightcorefan94/CVE-2026-6770
Mozilla Firefox / Thunderbird
CVE-2026-6770 – IndexedDB Ordering Information Disclosure Leading to Cross-Site Fingerprinting and Tracking
Affects
- Mozilla Firefox
- Mozilla Firefox ESR
- Mozilla Thunderbird
- Versions:
- Firefox before version 150
- Firefox ESR before version 140.10
- Thunderbird before version 150
- Thunderbird before version 140.10
- Components:
- Storage: IndexedDB component
- Function:
indexedDB.databases()
Description
CVE-2026-6770 is a medium-severity information disclosure vulnerability in Mozilla Firefox and Thunderbird affecting the IndexedDB client-side storage API .
IndexedDB is a browser API used for storing structured data on the client side. When a website creates IndexedDB databases, Firefox stores the database names using internal UUID mappings. The indexedDB.databases() function returns the list of these databases in a specific order based on how they are stored in a global hash table .
The vulnerability arises because the returned order is not re-randomized and is consistent across different origins. The sequence of database names returned by the API follows the hash table iteration order without sorting or randomization. This order remains stable for the entire lifetime of the browser process, even across different tabs, websites, and browsing sessions .
Key technical behavior:
- In Private Browsing mode, database names are mapped to UUIDs stored in a global hash table shared across multiple origins and persist until the browser is completely closed
- The returned data follows the order of the hash table without re-randomization, creating a stable, deterministic identifier
- This sequence serves as a high-entropy fingerprint consistent across tabs, sites, and sessions
- The identifier persists after closing Private Browsing windows as long as the browser process remains running
Attack Vector
Primary Attack Vector:
Remote / Network (Visiting a malicious or compromised website)
Attack Scenario:
- An attacker creates a malicious website or injects malicious code into a legitimate site
- The victim visits the site using a vulnerable version of Firefox, Firefox ESR, Thunderbird (browser context)
- The malicious site creates a set of IndexedDB databases with specially chosen names
- The site calls
indexedDB.databases()to retrieve the list of database names in their returned order - The ordering of the response serves as a stable, process-scoped identifier that is consistent across different origins and sites
- The site can read this identifier and use it to:
- Track the same user across multiple websites
- Correlate activity across different origins
- Generate a persistent fingerprint for the browser session
Key Characteristics:
- Requires user interaction – Victims must visit a specially crafted website or URL
- No authentication required – Anyone can trigger the exploit by visiting a malicious site
- Exploitable over network via website access
- Attack complexity is low – Easy to implement
- No user interaction beyond browsing – Visiting the site is sufficient
- No exploit publicly available – As of publication, no public exploit code has been released
Conditions Increasing Risk:
- Use of Firefox in Private Browsing mode (provides false sense of privacy)
- Organizations relying on browser privacy features for security
- Users who keep browser processes running for extended periods
- Environments where cross-site tracking is a concern (advertising networks, analytics providers)
Impact
Successful exploitation allows malicious websites to:
- Generate a unique, deterministic, stable identifier for the entire browser process
- Track user activity across different websites without using cookies or shared storage
- Link browsing sessions across origins that should be isolated from one another
- Fingerprint users in Private Browsing mode – breaking the privacy expectation that private sessions leave no trace
- Track users for the entire lifetime of the browser process – even after closing private windows
Privacy Implications:
| Context | Expected Behavior | Actual Behavior |
|---|---|---|
| Standard Browsing | Sites cannot link activity across origins | Sites can observe same identifier across origins |
| Private Browsing Mode | No persistent identifiers between sessions | Identifier persists until browser process ends |
| Process Lifetime | Identifiers reset with session | Identifier stable for entire process runtime |
This vulnerability fundamentally undermines core privacy expectations – websites should not be able to link users across contexts, and private sessions should leave no trace. Instead, Firefox’s IndexedDB exposes a deterministic, process-level identifier that enables cross-origin and same-origin tracking without cookies .
Observed Exploitation & Threat Activity
- Public Disclosure: April 21, 2026
- Patch Availability: Mozilla released patches on April 21, 2026 (Firefox 150, Firefox ESR 140.10, Thunderbird updates)
- Public Exploit Availability: No public exploit is available as of publication
- In-the-Wild Exploitation: No confirmed active exploitation has been reported, but the vulnerability was discovered by security researchers
- CVSS Score:
- NVD: 6.5 (Medium)
- Red Hat: 6.1 (Medium)
- CSH: Medium (CVSS v4.0)
Affected Platforms:
- Linux distributions including Debian, Red Hat Enterprise Linux, SUSE, Oracle Linux
- Windows, macOS, and all platforms running Firefox and Thunderbird
Severity & Metrics
- CVSS v3.1 (NVD): Medium (6.5)
- CVSS v3.1 (Red Hat): Medium (6.1)
- Attack Vector: Network
- Attack Complexity: Low
- Privileges Required: None
- User Interaction: Required (Red Hat) / None (NVD)
- Scope: Unchanged (NVD) / Changed (Red Hat)
- Confidentiality Impact: Low
- Integrity Impact: None / Low
- Availability Impact: None (some sources list Low)
NVD Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:
Red Hat Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Relevant CWE:
- CWE-440 – Expected Behavior Violation (Red Hat)
- CWE-20 – Improper Input Validation
- CWE-200 – Exposure of Sensitive Information to an Unauthorized Actor
Patch & Vendor Status
- Official Patches Available: Yes – released April 21, 2026
- Fixed Versions:
- Firefox: Version 150
- Firefox ESR: Version 140.10
- Thunderbird: Versions 150 and 140.10
Vendor Response:
| Vendor | Patch Version | Release Date | Advisory |
|---|---|---|---|
| Mozilla Firefox | 150 | April 21, 2026 | bugzilla.mozilla.org |
| Mozilla Firefox ESR | 140.10 | April 21, 2026 | bugzilla.mozilla.org |
| Mozilla Thunderbird | 150 / 140.10 | April 21, 2026 | bugzilla.mozilla.org |
| Tor Project | 15.0.10 | April 2026 | torproject.org |
Linux Distribution Status:
- Red Hat Enterprise Linux: Fixed in Firefox (RHSA-2026:10766, RHSA-2026:10757, RHSA-2026:10767) and Thunderbird (RHSA-2026:13537, RHSA-2026:12285) updates
- Ubuntu: Thunderbird on 22.04 LTS is vulnerable; Firefox on all supported Ubuntu releases is NOT affected as they use the Snap version (which receives updates directly)
- Debian: Security update available via DLA-4549 for thunderbird
- AlmaLinux: Fixed in thunderbird version 140.10.0-1.el10_1.alma.1
- SUSE, Oracle Linux: Patches available through their respective update channels
Mitigation & Remediation
Immediate Actions
| Action | Method |
|---|---|
| Update Firefox | Upgrade to version 150 or later via browser’s automatic update or direct download from mozilla.org |
| Update Firefox ESR | Upgrade to version 140.10 or later |
| Update Thunderbird | Upgrade to version 150 or 140.10 as appropriate |
| Apply Linux distribution patches | Use package manager to install updates (e.g., sudo apt update && sudo apt upgrade on Debian/Ubuntu; sudo dnf update on RHEL/Fedora) |
| Restart browser after update | The fix requires a full browser restart to clear any existing process-level identifiers. Closing all windows is not sufficient—the entire application must restart |
For Ubuntu users: Ubuntu’s Firefox is distributed as a Snap package, which receives updates directly from Mozilla. Ubuntu 22.04 LTS has Thunderbird vulnerable, and the Thunderbird Snap is not affected as it’s updated directly .
Short-Term Defensive Measures
If patching is not immediately possible:
- Use alternative browsers for privacy-sensitive browsing until updates can be applied
- Fully restart the browser process regularly to reset the identifier (close all windows and ensure no background processes remain)
- Disable or restrict IndexedDB via browser extensions or configuration (may break some websites)
- Use Private Browsing without assuming full protection – understand that the identifier persists across private windows within the same process
Long-term Defensive Measures
- Enable automatic browser updates to ensure timely receipt of security patches
- Use browser isolation technologies (e.g., sandboxed browsing environments) for untrusted websites
- Implement Content Security Policy (CSP) headers on websites you control to restrict which origins can access IndexedDB
- Educate users about browser fingerprinting and the limitations of private browsing modes
- Consider using browser extensions that block fingerprinting attempts (though effectiveness varies)
- Regularly audit browser security settings and update policies for enterprise deployments
Detection & Monitoring
Recommended Log Sources:
| Source | Purpose |
|---|---|
| Web proxy logs | Monitor for visits to known malicious domains |
| Browser telemetry | Enterprise browser management solutions can track browser versions |
| Network IDS/IPS | May detect known exploit patterns (though this is an information disclosure, not traditional exploitation) |
| Endpoint Detection & Response (EDR) | Can identify browser processes and monitor for unusual behavior |
Indicators of Potential Exploitation:
- No direct exploitation detection possible – This vulnerability does not produce logs or errors during exploitation
- No malicious payload required – Standard IndexedDB API calls are used, indistinguishable from legitimate usage
- Inability to detect via traditional means – The attack uses legitimate browser functionality in an unintended way
- Detection relies on identifying vulnerable versions – Version enumeration is the primary detection method
Detection Strategy:
Given the nature of this vulnerability (abuse of intended functionality rather than code execution), detection focuses on identifying vulnerable systems rather than detecting exploitation attempts:
- Inventory browser versions across your organization
- Identify systems running:
- Firefox before version 150
- Firefox ESR before version 140.10
- Thunderbird before version 150 or 140.10
- Monitor for outdated versions using vulnerability scanners (Nessus plugin ID 310350 available)
- Track compliance with patch policies for browser software
For security researchers: The vulnerability can be demonstrated by creating IndexedDB databases on different origins and comparing the order returned by indexedDB.databases() – consistent ordering indicates the vulnerability exists .
Post-Incident Response
If exploitation is suspected or privacy breach is a concern:
- Update affected software immediately to the patched versions
- Fully restart the browser – The identifier persists until the browser process terminates. Close all windows and ensure no background processes remain
- Clear browsing data including IndexedDB storage (clearing “Site Data” or “Storage” in browser settings)
- Assume tracking has occurred – There is no way to determine if the identifier was used to track a user. The identifier may have been exposed to any site visited during the vulnerable period
- For enterprise environments:
- Audit browser deployment to ensure all systems have received patches
- Review privacy impact for any sensitive browsing that occurred before patching
- Consider whether tracking vectors could have compromised investigations or operations requiring privacy
- Document and report findings to appropriate parties if systematic tracking is discovered
References
- https://vuldb.com/vuln/358470
- https://cvepremium.circl.lu/vuln/fkie_cve-2026-6770
- https://access.redhat.com/security/cve/cve-2026-6770
- https://ubuntu.com/security/CVE-2026-6770
- https://securityaffairs.com/191374/security/firefox-bug-cve-2026-6770-enabled-cross-site-tracking-and-tor-fingerprinting.html
- https://www.securityweek.com/firefox-vulnerability-allows-tor-user-fingerprinting/
- https://www.thaicert.or.th/en/2026/04/29/cve-2026-6770-vulnerability-found-in-firefox-and-tor-browser-risk-of-cross-site-fingerprinting-tracking/
- https://vuldb.com/vuln/358470
- https://security.snyk.io/vuln/SNYK-ALMALINUX10-THUNDERBIRD-16415511
- https://www.cybersecurity-help.cz/vdb/vulns/126674/
- https://cwe.mitre.org/data/definitions/20.html
- https://cwe.mitre.org/data/definitions/200.html
- https://cwe.mitre.org/data/definitions/440.html
