CVE-2026-6774CVE-2026-6774 是一个发现于 Mozilla Firefox 和 Thunderbird 浏览器 DOM 安全组件中的缓解措施绕过漏洞。攻击者可利用该漏洞绕过浏览器内置的安全防护机制,从而在特定条件下突破沙箱限制或同源策略。由于该漏洞需要低权限用户交互,攻击者通常通过诱导用户访问恶意网页来实施攻击。该漏洞影响了旧版本的浏览器,并在 Firefox 150 和 Thunderbird 150 版本中得到修复。成功利用可能导致机密性泄露或数据完整性受损。
该漏洞源于 DOM(文档对象模型)安全组件中的防御逻辑缺陷。通常,浏览器会实施一系列缓解措施(如内容安全策略 CSP、同源策略 SOP 等)来防止恶意网页访问敏感数据或执行未授权操作。在 CVE-2026-6774 中,特定的 DOM 操作序列或边界条件未能被安全机制正确拦截。攻击者可以构造特制的 JavaScript 代码或 HTML 页面,利用这一逻辑漏洞绕过安全检查。例如,攻击者可能利用该漏洞读取跨域请求的响应内容,或者在受限上下文中执行原本被禁止的脚本。由于 CVSS 向量显示范围为“范围改变 (S:C)”,这意味着利用该漏洞可能影响同一浏览器环境下的其他标签页或上下文。攻击者无需高权限,只需诱导目标用户进行简单的交互(如点击链接或查看页面),即可在不知情的情况下触发绕过行为,进而窃取 Cookie、会话令牌或其他敏感信息。