Resumen de la amenaza
- Nivel de severidad: Alto ⚠️
- Estado actual: Explotación activa en entornos no parcheados
Vulnerabilidades explotadas
- CVE-2025-4919
- CVSS v3.1: 8.8
- Descripción: Lectura/escritura fuera de límites en un objeto JavaScript, causada por confusión en el tamaño del índice de una matriz.
- CVE-2025-4918
- CVSS v3.1: 7.5
- Descripción: Lectura/escritura fuera de límites en un objeto
Promise de JavaScript.
Productos afectados
- Firefox (estándar):
- Versiones anteriores a 138.0.4
- Firefox ESR:
- Rama 128: versiones anteriores a 128.10.1
- Rama 115: versiones anteriores a 115.23.1
Impacto potencial
- Ejecución remota de código (RCE):
Permite a un atacante ejecutar comandos arbitrarios en el sistema afectado. - Corrupción de memoria:
Lectura o modificación de datos sensibles dentro de los procesos de navegación. - Elusión de mecanismos de seguridad:
Bypass de políticas de seguridad del navegador para acceder a recursos no autorizados.
Recomendaciones
- Actualización inmediata
- Firefox estándar: actualizar a 138.0.4 o superior.
- Firefox ESR:
- Rama 128 → 128.10.1 o superior
- Rama 115 → 115.23.1 o superior
- Canales oficiales: realizar siempre la actualización desde el sitio o repositorios oficiales de Mozilla.
- Verificación de versiones instaladas
- Acceder a Menú → Ayuda → Acerca de Firefox y comprobar la versión.
Pasos para actualizar Firefox
- Abrir Firefox
- Haz clic en el menú (tres líneas horizontales) en la esquina superior derecha.
- Acceder a “Acerca de Firefox”
- Windows/macOS: Menú → Ayuda → Acerca de Firefox
- Iniciar la actualización
- Firefox buscará automáticamente actualizaciones y, si hay alguna disponible, comenzará la descarga.
- Reiniciar el navegador
- Cierra todas las pestañas y haz clic en “Reiniciar para actualizar”.
- Confirmar la versión
- Tras el reinicio, vuelve a Menú → Ayuda → Acerca de Firefox y comprueba que la versión sea:
- 138.0.4 (estándar)
- 128.10.1 o 115.23.1 (ESR)
Referencias técnicas
