[TLP:CLEAR] Mozilla Firefox pro iOS opravuje 2 zranitelnosti
Mozilla verzí 151.2 opravuje 2 zranitelnosti v produktu Firefox pro iOS [1].
Neautentizovanému vzdálenému útočníkovi je kvůli nesprávnému pořadí nahrazování obsahu a interních zástupných řetězců v HTML šabloně funkce Reader View umožněno po otevření škodlivé stránky spustit libovolný JavaScript kód [1].
Zranitelnost se nachází v produktu Firefox (iOS) ve verzích <151.2.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Více informací:
- CVE-2026-9308 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečnému escapování HTML tagů v metadatech JSON-LD funkce Reader View umožněno získat citlivé parametry URL a potenciálně spustit libovolný JavaScript kód [1].
Zranitelnost se nachází v produktu Firefox (iOS) ve verzích <151.2.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Více informací:
- CVE-2026-9309 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 6. 2026.
Za CESNET-CERTS Michaela Jarošová dne 3. 6. 2026.
