关键漏洞信息 漏洞概述 公告日期: 2023年5月27日 影响: 关键 产品: Firefox 修复版本: Firefox 139 具体漏洞详情 1. CVE-2025-5262: libvpx编码器中的双重释放 - 报告者: Randall Jesup - 影响: 关键 - 描述: 在初始化libvpx编码器时,由于错误的分配,可能会发生双重释放。这可能导致内存损坏和潜在的可利用崩溃。 2. CVE-2025-5263: 脚本执行错误处理未正确隔离来自Web内容 - 报告者: Jing Song - 影响: 中等 - 描述: 脚本执行错误处理被Web内容不正确地绕过,可能允许跨源泄漏攻击。 3. CVE-2025-5264: “复制为cURL”命令中的潜在本地代码执行 - 报告者: Ameen Basheer M K - 影响: 中等 - 描述: 由于“复制为cURL”功能中对换行符的不充分转义,攻击者可以诱使用户使用此命令,从而导致本地代码执行。 4. CVE-2025-5265: “复制为cURL”命令中的潜在本地代码执行 - 报告者: Ameen Basheer M K - 影响: 中等 - 描述: 由于“复制为cURL”功能中对引号字符的不充分转义,攻击者可以诱使用户使用此命令,从而导致本地代码执行。 5. CVE-2025-5266: 脚本元素事件泄露跨源资源状态 - 报告者: Jakub Szymański - 影响: 中等 - 描述: 加载跨源资源的脚本元素生成的加载和错误事件泄露了有关这些资源的信息,从而允许跨站请求伪造攻击。 6. CVE-2025-5270: SNI有时未加密 - 报告者: Khulood - 影响: 低 - 描述: 在某些情况下,即使启用了加密SNI,SNI也可能以明文形式发送。 7. CVE-2025-5271: Devtools预览忽略CSP头 - 报告者: Satoshi Haji - 影响: 低 - 描述: 产生响应的Devtools忽略了CSP头,这可能允许内容注入攻击。 8. CVE-2025-5267: Clickjacking漏洞可能导致泄露保存的支付卡详细信息 - 报告者: Ameen Basheer M K - 影响: 低 - 描述: Clickjacking漏洞可能被用来诱骗用户在钓鱼页面上泄露保存的支付卡详细信息。 9. CVE-2025-5268: 在Firefox 139、Thunderbird 139、Firefox ESR 128.11和Thunderbird 128.11中修复的内存安全漏洞 - 报告者: Mozilla Fuzzing Team, Masayuki Nakano - 影响: 中等 - 描述: 在Firefox 139、Thunderbird 139、Firefox ESR 128.11和Thunderbird 128.11中修复的内存安全漏洞。其中一些漏洞显示了内存损坏的证据,我们假设它们可以被利用来运行任意代码。 10. CVE-2025-5272: 在Firefox 139和Thunderbird 139中修复的内存安全漏洞 - 报告者: Mozilla Fuzzing Team, Andrew Osmond - 影响: 中等 - 描述: 在Firefox 139和Thunderbird 139中修复的内存安全漏洞。其中一些漏洞显示了内存损坏的证据,我们假设它们可以被利用来运行任意代码。