Firefox
Уязвимости
4781
Эксплуатируемые
15
Макс. CVSS
10
Макс. EPSS
0.9986
Распределение по критичности
Критический
816
Высокий
1511
Средний
2335
Низкий
119
Затронутые диапазоны версий
1.0–1.0.81.0–1.51.5–1.5.0.101.5–1.5.0.111.5–1.5.0.21.5–1.5.0.9129–139140.0–140.12.0141–149.0.2142–144.0.2143.0–144.02.0–2.0.0.182.0–2.0.0.193.0–3.0.13.0–3.0.113.0–3.0.183.5–3.5.1178.11.0–89.0< 1.0.1< 1.5.0.2< 10.0.10< 10.0.11< 10.0.12< 10.0.4
Также сопоставлено как (исходные строки): seamonkey,thunderbird,focus,firefox_esr,fireftp,gnome-vfs,firefox,thunderbird_esr,mozilla,wikipedia_toolbar,firefox_focus,graphite2
Топ уязвимостей
CVE-2026-4725Выполнение произвольного кода в Mozilla Firefox
CVE-2026-4692Выполнение произвольного кода в Mozilla Firefox
CVE-2026-4689Выполнение произвольного кода в Mozilla Firefox
CVE-2026-4688Выполнение произвольного кода в Mozilla Firefox
CVE-2026-2778Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-2776Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-2768Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-2761Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-2760Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-0881Выполнение произвольного кода в Mozilla Thunderbird
CVE-2025-2857После недавнего выхода из песочницы Chrome (CVE-2025-2783) различные разработчики Firefox выявили аналогичный шаблон в нашем коде IPC. Скомпрометированный дочерний процесс может привести к тому, что родительский процесс вернёт случайно мощный дескриптор, что приведёт к выходу из песочницы.
Исходная уязвимость эксплуатировалась в дикой природе.
*Эта проблема затрагивает только Firefox на Windows. Другие операционные системы не затронуты.* Эта уязвимость затрагивает Firefox < 136.0.4, Firefox ESR < 128.8.1 и Firefox ESR < 115.21.1.
CVE-2021-38503Правила песочницы iframe были применены неправильно к таблицам стилей XSLT, что позволило iframe обходить ограничения, такие как выполнение сценариев или навигация по фрейму верхнего уровня. Эта уязвимость затрагивает Firefox < 94, Thunderbird < 91.3 и Firefox ESR < 91.3.
CVE-2020-12389Процессы содержимого Firefox недостаточно ограничили контроль доступа, что могло привести к выходу из песочницы. *Примечание: эта проблема затрагивает только Firefox в операционных системах Windows.*. Эта уязвимость затрагивает Firefox ESR < 68.8 и Firefox < 76.
CVE-2020-12388Процессы содержимого Firefox недостаточно ограничили контроль доступа, что могло привести к выходу из песочницы. *Примечание: эта проблема затрагивает только Firefox в операционных системах Windows.*. Эта уязвимость затрагивает Firefox ESR < 68.8 и Firefox < 76.
CVE-2019-11708Недостаточная проверка параметров, передаваемых с сообщением Prompt:Open IPC между дочерними и родительскими процессами, может привести к тому, что неограниченный родительский процесс откроет веб-контент, выбранный скомпрометированным дочерним процессом. В сочетании с дополнительными уязвимостями это может привести к выполнению произвольного кода на компьютере пользователя. Эта уязвимость затрагивает Firefox ESR < 60.7.2, Firefox < 67.0.4 и Thunderbird < 60.7.2.
CVE-2018-18505Более раннее исправление уязвимости межпроцессного взаимодействия (IPC), CVE-2011-3079, добавило аутентификацию к связи между конечными точками IPC и родительскими серверами во время создания процесса IPC. Этой аутентификации недостаточно для каналов, созданных после запуска процесса IPC, что приводит к тому, что аутентификация неправильно применяется к более поздним каналам. Это может привести к выходу из песочницы через каналы IPC из-за отсутствия проверки сообщений в процессе прослушивания. Эта уязвимость затрагивает Thunderbird < 60.5, Firefox ESR < 60.5 и Firefox < 65.
CVE-2016-1931Множественные неопределенные уязвимости в браузере Mozilla Firefox до 44.0 позволяют удаленным злоумышленникам вызвать отказ в обслуживании (повреждение памяти и сбой приложения) или, возможно, выполнить произвольный код через векторы, связанные с неинициализированной памятью, обнаруженной во время сжатия данных brotli, и другие векторы.
CVE-2014-1551Уязвимость use-after-free в деструкторе FontTableRec в Mozilla Firefox до версии 31.0, Firefox ESR 24.x до версии 24.7 и Thunderbird до версии 24.7 в Windows позволяет удаленным злоумышленникам выполнить произвольный код через специально созданное использование шрифтов в контенте MathML, что приводит к неправильной обработке объекта DirectWrite font-face.
CVE-2013-5592Множественные неуказанные уязвимости в браузере в Mozilla Firefox до 25.0 позволяют удаленным злоумышленникам вызывать отказ в обслуживании (повреждение памяти и сбой приложения) или, возможно, выполнять произвольный код через неизвестные векторы.
CVE-2013-1489Неуказанная уязвимость в компоненте Java Runtime Environment (JRE) в Oracle Java SE 7 Update 10 и Update 11, при работе в Windows с использованием Internet Explorer, Firefox, Opera и Google Chrome, позволяет удаленным злоумышленникам обходить уровень безопасности "Очень высокий" панели управления Java и выполнять неподписанный код Java без запроса пользователя через неизвестные векторы, также известный как "Issue 53" и уязвимость "Java Security Slider".
CVE-2013-0790Неуказанная уязвимость в движке браузера в Mozilla Firefox до версии 20.0 на Android позволяет удаленным злоумышленникам вызывать отказ в обслуживании (повреждение стековой памяти и сбой приложения) или, возможно, выполнять произвольный код через неизвестные векторы, связанные с плагином.
CVE-2012-0443Множественные неуказанные уязвимости в движке браузера в Mozilla Firefox 4.x до 9.0, Thunderbird 5.0 до 9.0 и SeaMonkey до 2.7 позволяют удаленным злоумышленникам вызывать отказ в обслуживании (повреждение памяти и сбой приложения) или, возможно, выполнять произвольный код через неизвестные векторы.
CVE-2011-3660Множественные неуказанные уязвимости в движке браузера в Mozilla Firefox 4.x до 8.0, Thunderbird 5.0 до 8.0 и SeaMonkey до версии 2.6 позволяют удаленным злоумышленникам вызывать отказ в обслуживании (повреждение памяти и сбой приложения) или, возможно, выполнять произвольный код через векторы, вызывающие несоответствие отсеков, связанное с функцией nsDOMMessageEvent::GetData, и неизвестные другие векторы.
CVE-2011-3654Движок браузера в Mozilla Firefox до версии 8.0 и Thunderbird до версии 8.0 неправильно обрабатывает ссылки из элементов SVG mpath на элементы, не являющиеся SVG, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (повреждение памяти и сбой приложения) или, возможно, выполнять произвольный код через неуказанные векторы.
CVE-2011-3652Движок браузера в Mozilla Firefox до версии 8.0 и Thunderbird до версии 8.0 неправильно выделяет память, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (повреждение памяти и сбой приложения) или, возможно, выполнять произвольный код через неуказанные векторы.