Уязвимость PT-2025-30487 (CVE-2025-6430, BDU:2025-07582) получила оценку 6,1 балла по шкале CVSS 4.0. Ошибка затронула все версии Firefox ниже 140.0, а также корпоративный Firefox ESR младше 128.12. Согласно информации вендора, недостатку безопасности были также подвержены две линейки почтовой программы Thunderbird: уязвимости содержались в версиях ниже 140 и 128.12
Специалисты отмечают, что при помощи выявленной уязвимости можно получить доступ к внутренним сервисам организации, например к документообороту и системе для управления взаимодействием с клиентами, а затем - к коммерческой тайне и финансовым данным, скомпрометировать учетные данные пользователей, в том числе администраторов корпоративной сети, и нарушить бизнес-процессы организации, а так же перенаправлять пользователей на фишинговые страницы для похищения учетных данных.
"До устранения CVE-2025-6430 Firefox некорректно использовал механизмы безопасной загрузки встраиваемых мультимедийных элементов, из-за чего просматриваемые пользователем файлы (документы, изображения, видеозаписи) открывались прямо в браузере, а не скачивались. Такое поведение системы могло помочь злоумышленнику в обходе некоторых механизмов защиты от уязвимостей, приводящих к атакам типа XSS, - объяснил Даниил Сатяев, младший специалист отдела исследований безопасности банковских систем, Positive Technologies. - Воспользовавшись межсайтовым скриптингом на одном из веб-ресурсов, нарушитель смог бы внедрить на страницу файл c вредоносным кодом на языке JavaScript, который жертва автоматически выполнила бы при его открытии".
Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление для Firefox и Firefox ESR. Были выпущены обновления и для Thunderbird.
Эксперты напоминают о необходимости своевременных обновлений приложений на ПК и мобильных устройствах. Это необходимо для предотвращения подобных инцидентов. В частности в данном случае необходимо обновить Firefox до версии 140.0 и Firefox ESR - до 128.12.