关键漏洞信息 漏洞概述 公告编号: Mozilla Foundation Security Advisory 2025-61 影响产品: Thunderbird 141 发布日期: 未显示具体日期 漏洞详情 1. CVE-2025-8027: JavaScript引擎仅写入部分返回值到堆栈 - 严重性: 中等 - 描述: 在JavaScript引擎中,当处理某些类型的函数调用时,可能会导致部分返回值被错误地写入堆栈,从而可能引发内存损坏。 2. CVE-2025-8038: 大分支表可能导致截断指令 - 严重性: 中等 - 描述: 在处理大型分支表时,可能会导致指令被截断,从而可能引发意外的程序行为或崩溃。 3. CVE-2025-8029: JavaScript URL在对象和嵌入标签中执行 - 严重性: 高 - 描述: 在某些情况下,JavaScript URL可以在和标签中执行,这可能导致跨站脚本攻击(XSS)。 4. CVE-2025-B036: DNS重绑定绕过CORS - 严重性: 高 - 描述: 攻击者可以通过DNS重绑定技术绕过CORS限制,从而访问受保护的资源。 5. CVE-2025-8037: 无名cookie覆盖安全cookie - 严重性: 中等 - 描述: 在某些情况下,无名cookie可能会覆盖安全cookie,从而可能导致会话劫持或其他安全问题。 6. CVE-2025-8030: “复制为cURL”命令中的潜在用户辅助代码执行 - 严重性: 中等 - 描述: 在使用“复制为cURL”功能时,如果用户输入恶意数据,可能会导致代码执行。 7. CVE-2025-8043: 错误的URL截断 - 严重性: 低 - 描述: 在处理某些URL时,可能会发生错误的截断,从而导致意外的行为。 8. CVE-2025-8031: CSP报告中的错误URL剥离 - 严重性: 低 - 描述: 在CSP报告中,URL可能会被错误地剥离,从而导致报告不准确。 9. CVE-2025-8022: XSLT文档可以绕过CSP - 严重性: 高 - 描述: 在某些情况下,XSLT文档可以绕过CSP限制,从而可能导致安全问题。 10. CVE-2025-8035: CSP frame-src对路径强制不正确 - 严重性: 中等 - 描述: CSP的frame-src指令对路径的强制不正确,可能导致内容被嵌入不受信任的来源。 11. CVE-2025-8039: 搜索词保留在URL栏中 - 严重性: 低 - 描述: 用户搜索的词可能会保留在URL栏中,即使用户已经导航离开页面。 12. CVE-2025-8033: 生成器的错误JavaScript状态机 - 严重性: 中等 - 描述: 在处理生成器时,JavaScript状态机可能存在错误,从而可能导致意外的行为。 13. CVE-2025-8044: Firefox 141和Thunderbird 141中的内存安全漏洞 - 严重性: 高 - 描述: 在Firefox 141和Thunderbird 141中存在多个内存安全漏洞,可能导致内存损坏和其他安全问题。 14. CVE-2025-8040: Firefox ESR 140.3、Thunderbird ESR 140.1、Firefox 141和Thunderbird 141中的内存安全漏洞 - 严重性: 高 - 描述: 在Firefox ESR 140.3、Thunderbird ESR 140.1、Firefox 141和Thunderbird 141中存在多个内存安全漏洞,可能导致内存损坏和其他安全问题。 15. CVE-2025-8035: Firefox ESR 128.13、Thunderbird ESR 140.1、Firefox 141和Thunderbird 141中的内存安全漏洞 - 严重性: 高 - 描述: 在Firefox ESR 128.13、Thunderbird ESR 140.1、Firefox 141和Thunderbird 141中存在多个内存安全漏洞,可能导致内存损坏和其他安全问题。