CSIRT Toscana Mozilla: rilevato sfruttamento di 2 vulnerabilità 0day (AL01/250520/CSIRT-ITA)
Data:
20 Maggio 2025 16:08
Impatto Sistemico
Critico (83.55)
Sintesi
Rilevato lo sfruttamento attivo delle vulnerabilità 0day CVE-2025-4918 e CVE-2025-4919 che interessano i prodotti Firefox e Firefox ESR.
Tipologia
- Arbitrary Code Execution
- Security Restrictions Bypass
Descrizione e potenziali impatti
È stato recentemente rilevato lo sfruttamento delle vulnerabilità 0day CVE-2025-4918 e CVE-2025-4919 che interessano i prodotti Firefox e Firefox ESR nell’ ambito della competizione Pwn2Own di Berlino.
Tali vulnerabilità risultano essere di tipo “Arbitrary Code Execution” e “Security Restrictions Bypass”, rispettivamente con score CVSS v3.x pari a 7.5 e 8.8.
Le vulnerabilità, legate a un errore nella gestione degli oggetti JavaScript ‘Promise’ ed a una scorretta interpretazione delle dimensioni degli indici degli array, potrebbero consentire l’esecuzione di codice arbitrario qualora venga visitato un sito web opportunamente predisposto.
Prodotti e/o versioni affette
Mozilla
- Firefox, versioni precedenti alla 138.0.4
- Firefox ESR, versioni precedenti alla 128.10.1
- Firefox ESR, versioni precedenti alla 115.23.1
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di applicare le patch seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.
Riferimenti
- https://bugzilla.mozilla.org/show_bug.cgi?id=1966612
- https://www.mozilla.org/security/advisories/mfsa2025-36/
- https://www.mozilla.org/security/advisories/mfsa2025-37/
- https://www.mozilla.org/security/advisories/mfsa2025-38/
CVE
| CVE-ID | |
|---|---|
| CVE-2025-4918 | CVE-2025-4919 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 20-05-2025 | 20/05/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link