Vulnerabilidades críticas en Mozilla Firefox 2025
Vulnerabilidad - 20 de mayo
Introducción
Mozilla Firefox ha corregido dos vulnerabilidades críticas, CVE-2025-4918 y CVE-2025-4919, que permiten a los atacantes ejecutar código arbitrario en los sistemas afectados. Estas fallas han sido explotadas activamente en el evento de hacking Pwn2Own Berlín 2025.
Análisis
CVE-2025-4918 - CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7.5
CVE-2025-4918afecta al motor JavaScript de Firefox. Un error de manejo de memoria permitía accesos fuera de los límites de los objetos, lo que podría ser aprovechado por un atacante para corromper la memoria del navegador y ejecutar código arbitrario en el sistema de la víctima.
CVE-2025-4919 - CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - 8.8
CVE-2025-4919 reside en una optimización defectuosa de sumas lineales. Mediante manipulación de estructuras de datos, un atacante podía lograr condiciones de lectura o escritura fuera de los límites, lo que, igual que en la vulnerabilidad anterior, abría la puerta a la ejecución de código.
Versiones afectadas
- Todas las versiones de Firefox anteriores a la 138.0.4 (incluido Firefox para Android)
- Todas las versiones de Firefox Extended Support Release (ESR) anteriores a la 128.10.1
- Todas las versiones de Firefox ESR anteriores a 115.23.1
Recomendaciones
Se recomienda a los usuarios actualizar sus instancias a la última versión para protegerse contra posibles amenazas.
Workarounds
No hay workarounds disponibles para esta vulnerabilidad.