CVE-2026-8966Firefox和Thunderbird浏览器的IP Protection组件存在信息泄露漏洞。该漏洞源于组件在处理特定网络请求时未能充分保护用户隐私信息。攻击者无需用户交互或认证,即可通过网络利用此漏洞获取敏感数据,如用户的IP地址或其他受保护的网络标识信息。该问题在Firefox 151和Thunderbird 151版本中已得到修复,建议用户尽快更新以避免隐私泄露风险。
该漏洞(CVE-2026-8966)主要影响Mozilla Firefox及其邮件客户端Thunderbird中的IP Protection功能模块。IP Protection组件旨在通过代理或混淆机制防止WebRTC等特性泄露用户的真实IP地址。然而,由于该组件在实现过程中存在逻辑缺陷,导致在特定网络环境下,攻击者可以绕过原有的保护机制。利用该漏洞时,攻击者可以构造恶意网页或HTML邮件,当受害者使用受影响版本的Firefox或Thunderbird进行渲染时,会触发组件的错误逻辑。攻击者随后可以通过分析响应数据或服务器日志,成功获取受害者的真实IP地址及本地网络信息。由于CVSS向量显示无需用户交互(UI:N)且无需权限(PR:N),该漏洞具有较高的隐蔽性和利用价值,主要威胁用户的网络匿名性和隐私安全。