CVE-2026-6770CVE-2026-6770是Mozilla Firefox及Thunderbird浏览器中Storage组件IndexedDB的一个安全漏洞。该漏洞源于组件内部处理逻辑的缺陷,攻击者无需用户认证及交互,通过网络向量即可发起攻击。利用此漏洞可能导致低程度的机密性信息泄露或对可用性造成轻微影响。官方已在Firefox 150及Thunderbird 150等版本中修复该问题,建议用户尽快更新。
该漏洞位于Firefox和Thunderbird的IndexedDB存储组件中。IndexedDB是浏览器提供的用于在客户端存储大量结构化数据的API。由于在处理数据库操作时的逻辑缺陷,攻击者可能绕过某些安全限制。根据CVSS向量分析,攻击者可以通过构造恶意的网页内容,诱导受害者访问(无需用户交互,如点击),从而触发漏洞。这种攻击利用了网络向量(AV:N),攻击复杂度低(AC:L),且不需要用户权限(PR:N)。漏洞的影响范围被限制在用户上下文(S:U),主要风险在于读取受限数据(C:L)或导致服务短暂中断(A:L)。虽然完整性未被破坏(I:N),但数据泄露风险仍需重视。此问题反映了浏览器底层存储机制在处理异常边界情况时的不足。