[TLP:CLEAR] Mozilla opravuje přes 40 zranitelností

Mozilla opravuje přes 40 zranitelností v různých produktech. Vybrané zranitelnosti jsou uvedené níže, zbylé naleznete na [1] po rozkliknutí jednotlivých varování. Jednotlivé produkty a jejich opravené verze: Firefox - 152 [2] Firefox for iOS - 152.0 [3] Firefox ESR 115.37 [4], 140.12 [5] Thunderbird - 152 [6] Thunderbird ESR - 140.12 [7]

Mozilla Firefox, Firefox ESR, Thunderbird, Thunderbird ESR - privilege escalation (CVE-2026-12289)
CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli blíže nespecifikované chybě v komponentě Graphics: WebRender umožněno eskalovat svá oprávnění [8].

Zranitelnost se nachází v produktech:

  • Mozilla Firefox ve verzích <152
  • Mozilla Firefox ESR ve verzích (>=140 AND <140.12) OR (>=115 AND <115.37)
  • Mozilla Thunderbird ve verzích <152
  • Mozilla Thunderbird ESR ve verzích >=140 AND <140.12

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 16. 6. 2026.

Mozilla Firefox, Firefox ESR, Thunderbird, Thunderbird ESR - sandbox escape (CVE-2026-12294)

Útočníkovi je prostřednictvím zranitelnosti v komponentě DOM: Workers umožněno uniknout ze sandboxu prohlížeče [9].

Zranitelnost se nachází v produktech:

  • Mozilla Firefox ve verzích <152
  • Mozilla Firefox ESR ve verzích (>=140 AND <140.12) OR (>=115 AND <115.37)
  • Mozilla Thunderbird ve verzích <152
  • Mozilla Thunderbird ESR ve verzích >=140 AND <140.12

Více informací:

Zranitelnost byla veřejně oznámena 16. 6. 2026.

Mozilla Firefox, Firefox ESR, Thunderbird, Thunderbird ESR - use-after-free (CVE-2026-12291)

Útočníkovi je kvůli zranitelnosti typu use-after-free v komponentě Networking: HTTP umožněno způsobit pád aplikace a potenciálně spustit libovolný kód [10].

Zranitelnost se nachází v produktech:

  • Mozilla Firefox ve verzích <152
  • Mozilla Firefox ESR ve verzích (>=140 AND <140.12) OR (>=115 AND <115.37)
  • Mozilla Thunderbird ve verzích <152
  • Mozilla Thunderbird ESR ve verzích >=140 AND <140.12

Více informací:

Zranitelnost byla veřejně oznámena 16. 6. 2026.

Mozilla Firefox, Firefox ESR, Thunderbird, Thunderbird ESR - arbitrary code execution (CVE-2026-12328)
CVSS 8.1 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli chybám bezpečnosti paměti vedoucím k jejímu poškození umožněno spustit libovolný kód [11].

Zranitelnost se nachází v produktech:

  • Mozilla Firefox ve verzích <152
  • Mozilla Firefox ESR ve verzích (>=140 AND <140.12) OR (>=115 AND <115.37)
  • Mozilla Thunderbird ve verzích <152
  • Mozilla Thunderbird ESR ve verzích >=140 AND <140.12

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 16. 6. 2026.

Mozilla Firefox for iOS - arbitrary cookies injection (CVE-2026-53900)
CVSS 4.3 (Medium)

Neautentizovanému vzdálenému útočníkovi je kvůli zachování cookies při přesměrování PDF požadavku mezi různými doménami umožněno vložit libovolné cookies do požadavků odesílaných nesouvisející cílové doméně ve Firefoxu pro iOS [12].

Zranitelnost se nachází v produktu Firefox for iOS ve verzích <152.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

Více informací:

Zranitelnost byla veřejně oznámena 16. 6. 2026.

Za CESNET-CERTS Michaela Jarošová dne 17. 6. 2026.

CESNET-CERTS Logo