关键漏洞信息 漏洞公告 公告编号: Mozilla Foundation Security Advisory 2025-62 产品: Thunderbird 修复版本: Thunderbird 128.13 发布日期: July 26, 2025 影响等级: High 漏洞详情 1. CVE-2025-8027: JavaScript引擎仅将部分返回值写入堆栈 - 报告者: Nan Wang - 影响: High - 描述: 在某些平台上, 仅将部分的 返回值空间写入堆栈,这可能导致在浏览邮件时出现崩溃或类似问题。 2. CVE-2025-8028: 大分支表可能导致截断指令 - 报告者: Gary Kwong - 影响: High - 描述: 在m64-WASM中,带有大量条目的分支表指令可能会导致标签跳转远离指令地址,从而导致截断和不正确的指令计算。 3. CVE-2025-8029: JavaScript URL在对象和嵌入标签上执行 - 报告者: Williambrook - 影响: Moderate - 描述: Thunderbird在对象和嵌入标签上执行javascript:URLs。 4. CVE-2025-8030: “复制为cURL”命令中的潜在用户辅助代码执行 - 报告者: Aminah Basheer M K - 影响: Moderate - 描述: “复制为cURL”功能中的不安全转义可能被用来触发用户执行意外代码。 5. CVE-2025-8031: CSP报告中的URL剥离错误 - 报告者: Tom Schuster - 影响: Moderate - 描述: URL中的用户名和密码部分未正确从CSP报告中剥离,可能导致HTTP基本身份验证凭证泄露。 6. CVE-2025-8032: XSLT文档可以绕过CSP - 报告者: Joe Turner - 影响: Moderate - 描述: XSLT文档加载没有正确传播源文档,从而绕过其CSP。 7. CVE-2025-8033: 生成器的JavaScript状态机不正确 - 报告者: Shahar Fazin - 影响: Low - 描述: JavaScript引擎没有正确处理关闭的生成器,并且可以恢复它们,导致空指针解引用。 8. CVE-2025-8034: Firefox ESR 115.26、Firefox ESR 128.13、Thunderbird ESR 128.13、Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141和Thunderbird 141中的内存安全漏洞 - 报告者: The Mozilla Fuzzing Team - 影响: High - 描述: 存在内存安全漏洞,显示内存损坏的证据,我们假设其中一些漏洞可能被利用来运行任意代码。 9. CVE-2025-8035: Firefox ESR 128.13、Thunderbird ESR 128.13、Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141和Thunderbird 141中的内存安全漏洞 - 报告者: The Mozilla Fuzzing Team - 影响: High - 描述: 存在内存安全漏洞,显示内存损坏的证据,我们假设其中一些漏洞可能被利用来运行任意代码。