CVE-2026-6754 CVSS 7.5 高危

CVE-2026-6754 Firefox JavaScript引擎释放后重用漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6754

漏洞类型

释放后重用

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Firefox, Thunderbird

漏洞概述

Firefox和Thunderbird的JavaScript引擎组件存在释放后重用漏洞。攻击者可利用此漏洞通过网络发起攻击，无需认证或交互。该漏洞可能导致应用崩溃或潜在代码执行，已在Firefox 150等版本中修复。

技术细节

该漏洞属于释放后重用类型。在JavaScript引擎的垃圾回收机制或对象生命周期管理过程中，程序错误地在释放了某块内存后，依然保留了指向该内存的指针并尝试对其进行读写操作。攻击者可以通过精心构造的JavaScript代码，触发特定的内存布局，在内存被释放后重新分配并填充恶意数据。当原指针再次被访问时，将导致任意内存读写或代码执行。虽然当前CVSS评分主要强调可用性影响，但在浏览器沙箱逃逸配合下，此类漏洞通常具有较高的安全风险。

攻击链分析

STEP 1

步骤1

攻击者构造包含恶意JavaScript代码的网页或邮件内容。

STEP 2

步骤2

受害者使用受影响版本的Firefox或Thunderbird访问该网页或渲染邮件。

STEP 3

步骤3

JavaScript引擎解析代码，触发对象释放后继续使用的条件。

STEP 4

步骤4

利用释放的内存指针进行非法操作，导致应用程序崩溃或执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Conceptual PoC for Use-after-Free in JavaScript Engine
// Triggering a UAF scenario

let obj = [];

// Step 1: Allocate object
for (let i = 0; i < 100; i++) {
    obj.push({a: i});
}

// Step 2: Trigger vulnerability (Free object)
// Hypothetical function that frees the object but keeps a reference
trigger_vulnerability(obj[50]);

// Step 3: Reallocate memory with attacker-controlled data
// Fill the freed memory slot
let crafted_data = new Uint32Array(100);
for (let i = 0; i < crafted_data.length; i++) {
    crafted_data[i] = 0x41414141; // 'AAAA'
}

// Step 4: Access the freed pointer (Crash or Exploit)
print(obj[50].a); // Accessing freed memory

影响范围

Firefox < 150

Firefox ESR < 115.35

Firefox ESR < 140.10

Thunderbird < 150

Thunderbird < 140.10

防御指南

临时缓解措施

建议用户尽快更新至官方发布的最新安全补丁版本。在未进行修复前，应限制对不受信任网站的访问，并谨慎处理来源不明的HTML邮件，以降低被利用的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表