Mozilla Firefox 沙箱逃逸漏洞(CVE-2025-2857)
日期:2025-03-28 10:10:32 发布人:信息化建设中心 浏览量:0
一、漏洞概要
漏洞名称 | Mozilla Firefox 沙箱逃逸漏洞(CVE-2025-2857) |
发布时间 | 2025年3月28日 |
组件名称 | Mozilla-firefox |
影响范围 | Firefox < 136.0.4 Firefox ESR < 115.21.1 Firefox ESR < 128.8.1 |
漏洞类型 | 沙箱逃逸 |
利用条件 | 1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 | <综合评定利用难度>:容易,无需授权即可造成远程代码执行。 <综合评定威胁等级>:高危,能导致远程代码执行。 |
官方解决方案 | 已发布 |
二、漏洞分析
2.1 组件介绍
Mozilla Firefox,是一个由Mozilla开发的自由及开放源代码的网页浏览器。
2.2 漏洞描述
2025年3月28日,深瞳漏洞实验室监测到一则Mozilla-firefox组件存在沙箱逃逸漏洞的信息,漏洞编号:CVE-2025-2857,漏洞威胁等级:严重。
该漏洞与CVE-2025-2857原理类似,也源于句柄管理不善,无意中授予了无权限子进程的高级访问权限,使它们能够逃出浏览器沙箱并执行任意代码,导致服务器失陷。
该漏洞只影响Windows系统,其他系统不受影响。
三、影响范围
目前受影响的Mozilla-firefox版本:
Firefox < 136.0.4
Firefox ESR < 115.21.1
Firefox ESR < 128.8.1
四、解决方案
4.1 修复建议
1、如何检测组件系统版本
在浏览器中,依次点击设置——帮助——关于Firefox,查看当前版本号。
2、官方修复建议
官方已发布最新版本修复该漏洞,建议受影响的Windows客户将Firefox更新到以下版本:
Firefox 136.0.4
Firefox ESR 115.21.1
Firefox ESR 128.8.1
- 上一篇:没有了
- 下一篇:Next.js Middleware 认证绕过漏洞(CVE-2025-29927)