关键漏洞信息 漏洞概述 公告日期: 2025年5月27日 影响: 关键 产品: Thunderbird 139 修复版本: Thunderbird 140 具体漏洞详情 1. CVE-2025-5262: libvpx编码器中的双重释放 - 报告者: Randall Jesup - 影响: 关键 - 描述: 在libvpx的 函数中,当初始化WebM解码器失败时,存在双重释放问题。这可能导致内存损坏和潜在的可利用崩溃。 2. CVE-2025-5263: 脚本执行错误处理未正确隔离网页内容 - 报告者: Jingyang - 影响: 中等 - 描述: 脚本执行的错误处理未正确隔离网页内容,可能导致未经授权的泄露攻击。 3. CVE-2025-5264: “复制为cURL”命令中的潜在本地代码执行 - 报告者: Ameer Basha M K - 影响: 中等 - 描述: 由于对“复制为cURL”功能中的命令行对象的不充分转义,攻击者可以诱使用户使用此命令,从而导致在用户的系统上执行本地代码。 4. CVE-2025-5265: “复制为cURL”命令中的潜在本地代码执行 - 报告者: Ameer Basha M K - 影响: 中等 - 描述: 由于对“复制为cURL”功能中的换行符字符的不充分转义,攻击者可以诱使用户使用此命令,从而导致在用户的系统上执行本地代码。 5. CVE-2025-5266: 脚本元素事件泄露跨源资源状态 - 报告者: Jakub Szymaszek - 影响: 中等 - 描述: 引用跨源资源的脚本元素生成了本地错误和错误事件,这些信息泄露可能触发XSS攻击。 6. CVE-2025-5270: SNI有时未加密 - 报告者: shihui - 影响: 低 - 描述: 在某些情况下,即使启用了加密SNI,SNI也可能以未加密的形式发送。 7. CVE-2025-5271: Devtools预览忽略CSP头 - 报告者: Satoko Hagi - 影响: 低 - 描述: Devtools在响应预览中忽略了CSP头,这可能导致内容注入攻击。 8. CVE-2025-5267: 点击劫持漏洞可能导致泄露保存的支付卡详细信息 - 报告者: Ameer Basha M K - 影响: 低 - 描述: 点击劫持漏洞可能被用来诱使用户在恶意页面上泄露保存的支付卡详细信息。 9. CVE-2025-5268: Firefox 139、Thunderbird 139、Firefox ESR 128.11和Thunderbird 128.11中修复的内存安全漏洞 - 报告者: Mozilla Fuzzing Team, Andrew Clements - 影响: 中等 - 描述: Firefox 139、Thunderbird 139、Firefox ESR 128.11和Thunderbird 128.11中存在的内存安全漏洞显示了内存损坏的证据,并且经过足够的努力,其中一些可能已经被利用来运行任意代码。 10. CVE-2025-5272: Firefox 139和Thunderbird 139中修复的内存安全漏洞 - 报告者: Mozilla Fuzzing Team, Andrew Clements - 影响: 中等 - 描述: Firefox 139和Thunderbird 139中存在的内存安全漏洞。