CVE-2026-8952CVE-2026-8952是Mozilla Firefox应用更新组件中的权限提升漏洞。该漏洞CVSS评分为6.5,属于中危级别。攻击者可利用网络攻击向量,在无需用户交互和认证的情况下,利用更新机制的缺陷获取更高的系统权限。此漏洞可能导致机密性和完整性受损,对用户系统安全构成威胁。Mozilla已在Firefox 151版本中发布了修复补丁。
该漏洞主要源于Firefox应用程序更新服务在处理文件更新时的权限验证逻辑缺陷。具体来说,更新组件在执行文件替换或写入操作时,未能严格校验目标目录或文件的权限设置,导致低权限用户可能通过构造特定的更新请求或文件路径,欺骗更新服务以系统级权限执行恶意操作。由于更新服务通常运行在较高的权限上下文中(如Windows的SYSTEM或Linux的root),攻击者成功利用此漏洞后,可从普通用户权限提升至系统最高权限,进而读取敏感数据、篡改系统配置或植入持久化后门。此外,由于攻击无需用户交互,攻击者可结合自动化脚本批量扫描并利用未修复的Firefox实例,使得该漏洞具有较高的利用风险。