V
Scaner-VS
ENRU
HomeCatalogSourcesCWECAPECATT&CKMitigationsProductsVendorsDocs
Back to catalog
CVE-2025-14321
ANC
CriticalConfirmedExploit available

This update upgrades firefox-esr to version 140.6.0-alt1. Security Fix(es): * BDU:2025-15639: Уязвимость интерфейсов Canvas и WebGL браузер…

CVSS
9.8
Critical
EPSS
0.00
p38
Published
2025-01-01
Updated
2025-01-01
Description

This update upgrades firefox-esr to version 140.6.0-alt1. Security Fix(es): * BDU:2025-15639: Уязвимость интерфейсов Canvas и WebGL браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти защитный механизм песочницы * BDU:2025-15640: Уязвимость JIT-компилятора браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации * BDU:2025-15641: Уязвимость интерфейса Notification браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю повысить свои привилегии * BDU:2025-15642: Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании * BDU:2025-15643: Уязвимость компонента WebRTC: Signaling браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации * BDU:2025-16354: Уязвимость JIT-компилятора браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю выполнить произвольный код * BDU:2025-16357: Уязвимость компонента Netmonitor браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю повысить свои привилегии * BDU:2025-16358: Уязвимость компонента Netmonitor браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю повысить свои привилегии * BDU:2025-16359: Уязвимость JIT-компилятора браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю вызвать отказ в обслуживании * BDU:2025-16360: Уязвимость компонента Request Handling браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти существующие ограничения безопасности * CVE-2025-14321: Use-after-free in the WebRTC: Signaling component. This vulnerability affects Firefox < 146, Firefox ESR < 140.6, Thunderbird < 146, and Thunderbird < 140.6. * CVE-2025-14322: Sandbox escape due to incorrect boundary conditions in the Graphics: CanvasWebGL component. This vulnerability affects Firefox < 146, Firefox ESR < 115.31, Firefox ESR < 140.6, Thunderbird < 146, and Thunderbird < 140.6. * CVE-2025-14323: Privilege escalation in the DOM: Notifications component. This vulnerability affects Firefox < 146, Firefox ESR < 115.31, Firefox ESR < 140.6, Thunderbird < 146, and Thunderbird < 140.6. * CVE-2025-14324: JIT miscompilation in the JavaScript Engine: JIT component. This vulnerability affects Firefox < 146, Firefox ESR < 115.31, Firefox ESR < 140.6, Thunderbird < 146, and Thunderbird < 140.6. * CVE-2025-14325: JIT miscompilation in the JavaScript Engine: JIT component. This vulnerability affects Firefox < 146, Firefox ESR < 140.6, Thunderbird < 146, and Thunderbird < 140.6. * CVE-2025-14328: Privilege escalation in the Netmonitor component. This vulnerability affects Firefox < 146, Firefox ESR < 140.6, Thunderbird < 146, and Thunderbird < 140.6. * CVE-2025-14329: Privilege escalation in the Netmonitor component. This vulnerability affects Firefox < 146, Firefox ESR < 140.6, Thunderbird < 146, and Thunderbird < 140.6. * CVE-2025-14330: JIT miscompilation in the JavaScript Engine: JIT component. This vulnerability affects Firefox < 146, Firefox ESR < 140.6, Thunderbird < 146, and Thunderbird < 140.6. * CVE-2025-14331: Same-origin policy bypass in the Request Handling component. This vulnerability affects Firefox < 146, Firefox ESR < 115.31, Firefox ESR < 140.6, Thunderbird < 146, and Thunderbird < 140.6. * CVE-2025-14333: Memory safety bugs present in Firefox ESR 140.5, Thunderbird ESR 140.5, Firefox 145 and Thunderbird 145. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 146, Firefox ESR < 140.6, Thunderbird < 146, and Thunderbird < 140.6.

Tags · CWE
RCEPre-auth
CWE-416
Affected products
FirefoxFirefoxFirefoxFirefoxFirefoxFirefoxFirefoxFirefox-esrFirefox-esrFirefox-esr-config-privacyMozjs102Mozjs102Mozjs115Mozjs115Mozjs78Mozjs91ThunderbirdThunderbirdThunderbird
CVSS vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Timeline
2025-01-01
Published
2025-01-01
Updated
CVSS 3.1 breakdown
Attack Vector
AV: N
Network (N)
Attack Complexity
AC: L
Low (L)
Privileges Required
PR: N
None (N)
User Interaction
UI: N
None (N)
Scope
S: U
Unchanged (U)
Confidentiality Impact
C: H
High (H)
Integrity Impact
I: H
High (H)
Availability Impact
A: H
High (H)
Exploit indicators
EPSS
0.005 · p38
Known exploited (KEV)
No
Known exploits — Сканер-ВС
CVE-2025-14321
github-poc · https://github.com/h3raklez/CVE-2025-14321
Enterprise
Affected products
Debian
FirefoxFirefox-esrThunderbird
Canonical
FirefoxThunderbirdMozjs78Mozjs91Mozjs102Mozjs115
Red Hat
Firefox-esrFirefox-esr-config-privacy
Группа Астра (РусБИТех)
FirefoxThunderbird
Mozilla
FirefoxThunderbirdFirefox Esr
ProductVendorStatus
Tracked
firefoxTracked
firefoxTracked
firefoxTracked
firefoxTracked
firefoxTracked
firefoxTracked
firefoxTracked
firefox-esrTracked
firefox-esrTracked
firefox-esr-config-privacyTracked
mozjs102Tracked
mozjs102Tracked
mozjs115Tracked
mozjs115Tracked
mozjs78Tracked
mozjs91Tracked
thunderbirdTracked
thunderbirdTracked
thunderbirdTracked
Showing first 20 of 26
Source databases
ANC
AST
DEB
CVE
RED
UBU
Related vulnerabilities
BDU:2025-15643
External references
https://errata.altlinux.org/ALT-PU-2025-15772@https://bdu.fstec.ru/vul/2025-15639@https://bdu.fstec.ru/vul/2025-15640@https://bdu.fstec.ru/vul/2025-15641@https://bdu.fstec.ru/vul/2025-15642@https://bdu.fstec.ru/vul/2025-15643@https://bdu.fstec.ru/vul/2025-16354@https://bdu.fstec.ru/vul/2025-16357@https://bdu.fstec.ru/vul/2025-16358@https://bdu.fstec.ru/vul/2025-16359@https://bdu.fstec.ru/vul/2025-16360@https://nvd.nist.gov/vuln/detail/CVE-2025-14321@https://nvd.nist.gov/vuln/detail/CVE-2025-14322@https://nvd.nist.gov/vuln/detail/CVE-2025-14323@https://nvd.nist.gov/vuln/detail/CVE-2025-14324@https://nvd.nist.gov/vuln/detail/CVE-2025-14325@https://nvd.nist.gov/vuln/detail/CVE-2025-14328@https://nvd.nist.gov/vuln/detail/CVE-2025-14329@https://nvd.nist.gov/vuln/detail/CVE-2025-14330@https://nvd.nist.gov/vuln/detail/CVE-2025-14331@https://nvd.nist.gov/vuln/detail/CVE-2025-14333https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/@https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/