远程 Windows 主机上安装的 Firefox 版本低于 70.0。因此受到公告 mfsa2019-34 中提及的多个漏洞的影响。

  - Mozilla 开发人员和社区成员 Bob Clary、Jason Kratzer、Aaron Klotz、Iain Israel、Tyson Smith、Christian Holler、Steve Fink、Honza Bambas、Byron Campen 和 Cristian Brindusan 报告 Firefox 69 和 Firefox ESR 中存在内存安全错误 68.1。其中某些错误表现出内存损坏的迹象，我们推测若攻击者有意操控，就能利用其中某些漏洞运行任意代码。
    (CVE-2019-11764)

  - 遭到破坏的子进程可能已经将 XBL 绑定注入到特权 CSS 规则中从而导致任意代码执行和沙盒逃逸。 (CVE-2019-25136)

  - 在 WebRTC 中错误导出数据包长度会通过特制的视频文件造成堆损坏。这会导致潜在可利用的崩溃。 (CVE-2018-6156)

  - 在 2.2.8之前的 libexpat 中构造的 XML 输入可能欺骗解析器过早从 DTD 解析到文档解析。对 <code>XMLGetCurrentLineNumber</code> 或 <code>XMLGetCurrentColumnNumber</code> 的后续调用则导致基于堆的缓冲区过度读取。 (CVE-2019-15903)

  - 当在 IndexedDB 中存储值时遵照值的原型链可以保留引用到本地、将其删除及后续引用。这会导致释放后使用和潜在可利用的崩溃。 (CVE-2019-11757)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Mozilla Firefox < 70.0

critical Nessus 插件 ID 130170

版本 1.8

版本 1.7

版本 1.8 Nov 19, 2025, 7:37 AM CVE (set "CVE" coverage to "CVE-2018-6156,CVE-2019-11757,CVE-2019-11759,CVE-2019-11760,CVE-2019-11761,CVE-2019-11762,CVE-2019-11763,CVE-2019-11764,CVE-2019-11765,CVE-2019-15903,CVE-2019-17000,CVE-2019-17001,CVE-2019-17002,CVE-2019-25136,CVE-2020-12412") CVSS metrics ("CVSSv3 score" set to 10.0) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H") CVSSv3 score source (set to "CVE-2019-25136") Detection (updated detection logic) Plugin metadata Plugin Feed: 202511190737
版本 1.7 Apr 17, 2024, 3:38 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202404171538