Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2025-1930)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-416 Utilización después de liberación
Fecha de publicación:
04/03/2025
Última modificación:
04/04/2025

Descripción

En Windows, un proceso de contenido comprometido podría usar datos StreamData erróneos enviados a través de AudioIPC para activar un proceso de use-after-free en el proceso del navegador. Esto podría haber provocado un escape de la zona protegida. Esta vulnerabilidad afecta a Firefox < 136, Firefox ESR < 115.21, Firefox ESR < 128.8, Thunderbird < 136 y Thunderbird < 128.8.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mozilla:firefox:*:*:*:*:esr:*:*:* 115.21.0 (excluyendo)
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* 136.0 (excluyendo)
cpe:2.3:a:mozilla:firefox:*:*:*:*:esr:*:*:* 116.0 (incluyendo) 128.8.0 (excluyendo)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:-:*:*:* 128.8 (excluyendo)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:-:*:*:* 1.28.8 (excluyendo) 136.0 (excluyendo)