远程主机上安装的 Firefox 版本低于 128.11.0-1。因此，该软件受到 ALAS2FIREFOX-2025-039 公告中提及的多个漏洞影响。

    攻击者可在 JavaScript `Promise` 对象上执行越界读取或写入。此漏洞会影响 Firefox < 138.0.4、Firefox ESR < 128.10.1 和 Firefox ESR < 115.23.1。
    (CVE-2025-4918)

    攻击者可通过混淆阵列索引大小，在 JavaScript 对象上执行越界读取或写入。此漏洞会影响 Firefox < 138.0.4、Firefox ESR < 128.10.1 和 Firefox ESR < 115.23.1。(CVE-2025-4919)

    用于脚本执行的错误处理未正确与 Web 内容隔离，这可能允许跨源泄漏攻击。此漏洞会影响 Firefox < 139、Firefox ESR < 115.24 和 Firefox ESR < 128.11。(CVE-2025-5263)

    由于作为 cURL 功能的副本中换行符的转义不充分，攻击者可以诱骗用户使用此命令，从而可能导致在用户系统上执行本地代码。
    此漏洞会影响 Firefox < 139、Firefox ESR < 115.24 和 Firefox ESR < 128.11。(CVE-2025-5264)

    - 由于作为 cURL 功能的副本中“&”字符的转义不充分，攻击者可以诱骗用户使用此命令，从而可能导致在用户系统上执行本地代码。*此错误仅影响 Windows 版 Firefox。其他 Firefox 版本不受影响。*该漏洞影响 Firefox < 139、Firefox ESR < 115.24 和 Firefox ESR < 128.11。(CVE-2025-5265)

    加载跨源资源的脚本元素生成了加载和错误事件，它们会泄漏可导致 XS-Leaks 攻击的信息。该漏洞影响 Firefox < 139 和 Firefox ESR < 128.11。
    (CVE-2025-5266)

    可利用一个点击劫持漏洞诱骗用户将保存的支付卡详细信息泄露给恶意页面。该漏洞影响 Firefox < 139 和 Firefox ESR < 128.11。(CVE-2025-5267)

    - 在 Firefox 138、Thunderbird 138、Firefox ESR 128.10 和 Thunderbird 128.10 中修复了内存安全缺陷。
    其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。该漏洞影响 Firefox < 139 和 Firefox ESR < 128.11。(CVE-2025-5268)

    Firefox ESR 128.10 和 Thunderbird 128.10 中存在内存安全缺陷。此错误显示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响版本低于 128.11 的 Firefox ESR。(CVE-2025-5269)

    Google Chrome 137.0.7151.55 之前版本的 libvpx 中存在释放后使用漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面造成堆损坏。（Chromium 安全严重性：中）

    重复：https://console.harmony.a2z.com/al-cve-eval/cve/TEMP-1106689-EC87F6 (CVE-2025-5283)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Amazon Linux 2: firefox (ALASFIREFOX-2025-039)

critical Nessus 插件 ID 238254

版本 1.3