КиберосноваSGRC
BDU:2026-03392
Высокий

BDU:2026-03392: Уязвимость компонента DOM: Security браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти существующие ограничения безопасности

CVSS v38.1
CVSS v29.4
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2026-03392

Описание

Уязвимость компонента DOM: Security браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с нарушением механизма защиты данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности

Что делать с BDU:2026-03392

Высокая уязвимость (CVSS 8.1) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
8.1Высокий
Пересчитать →
v2
9.4
Только просмотр
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:NAV:N/AC:L/Au:N/C:C/I:C/A:N

CWE — тип уязвимости

CWE-693

CVE — международный идентификатор

CVE-2026-0877
MFSA 2026-01
MFSA 2026-02
MFSA 2026-03
MFSA 2026-04
MFSA 2026-05

Тактики и техники

Несанкционированный сбор информации

Уязвимое ПО (27)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.Red Hat Enterprise Linux8Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux11Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux12Не указана
Canonical Ltd.Ubuntu22.04 LTSНе указана
Red Hat Inc.Red Hat Enterprise Linux9Не указана
Red Hat Inc.Red Hat Enterprise Linux8.2 Advanced Update SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux8.4 Advanced Mission Critical Update SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux9.0 Update Services for SAP SolutionsНе указана
Red Hat Inc.Red Hat Enterprise Linux8.6 Update Services for SAP SolutionsНе указана
Red Hat Inc.Red Hat Enterprise Linux8.6 Telecommunications Update ServiceНе указана
Red Hat Inc.Red Hat Enterprise Linux8.6 Advanced Mission Critical Update SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux7 Extended Lifecycle SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux9.4 Extended Update SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux10Не указана
Red Hat Inc.Red Hat Enterprise Linux8.8 Telecommunications Update ServiceНе указана
Red Hat Inc.Red Hat Enterprise Linux8.8 Update Services for SAP SolutionsНе указана
Red Hat Inc.Red Hat Enterprise Linux9.2 Update Services for SAP SolutionsНе указана
Сообщество свободного программного обеспеченияDebian GNU/Linux13Не указана
Red Hat Inc.Red Hat Enterprise Linux8.4 Extended Update Support Long-Life Add-OnНе указана
Red Hat Inc.Red Hat Enterprise Linux9.6 Extended Update SupportНе указана
ООО «Ред Софт»РЕД ОС8.0Не указана
Mozilla Corp.Firefoxдо 147Не указана
Mozilla Corp.Thunderbirdдо 147Не указана
Mozilla Corp.Firefox ESRдо 140.7Не указана
Red Hat Inc.Red Hat Enterprise Linux10.0 Extended Update SupportНе указана
Mozilla Corp.Firefox ESRдо 115.32Не указана
Mozilla Corp.Thunderbirdдо 140.7Не указана

Среды функционирования (22)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.Red Hat Enterprise Linux8Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux11Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux12Не указана
Canonical Ltd.Ubuntu22.04 LTSНе указана
Red Hat Inc.Red Hat Enterprise Linux9Не указана
Red Hat Inc.Red Hat Enterprise Linux8.2 Advanced Update SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux8.4 Advanced Mission Critical Update SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux9.0 Update Services for SAP SolutionsНе указана
Red Hat Inc.Red Hat Enterprise Linux8.6 Update Services for SAP SolutionsНе указана
Red Hat Inc.Red Hat Enterprise Linux8.6 Telecommunications Update ServiceНе указана
Red Hat Inc.Red Hat Enterprise Linux8.6 Advanced Mission Critical Update SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux7 Extended Lifecycle SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux9.4 Extended Update SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux10Не указана
Red Hat Inc.Red Hat Enterprise Linux8.8 Telecommunications Update ServiceНе указана
Red Hat Inc.Red Hat Enterprise Linux8.8 Update Services for SAP SolutionsНе указана
Red Hat Inc.Red Hat Enterprise Linux9.2 Update Services for SAP SolutionsНе указана
Сообщество свободного программного обеспеченияDebian GNU/Linux13Не указана
Red Hat Inc.Red Hat Enterprise Linux8.4 Extended Update Support Long-Life Add-OnНе указана
Red Hat Inc.Red Hat Enterprise Linux9.6 Extended Update SupportНе указана
ООО «Ред Софт»РЕД ОС8.0Не указана
Red Hat Inc.Red Hat Enterprise Linux10.0 Extended Update SupportНе указана

Рекомендации по устранению

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года. Использование рекомендаций: Для браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird: https://www.mozilla.org/security/advisories/mfsa2026-01/ https://www.mozilla.org/security/advisories/mfsa2026-02/ https://www.mozilla.org/security/advisories/mfsa2026-03/ https://www.mozilla.org/security/advisories/mfsa2026-04/ https://www.mozilla.org/security/advisories/mfsa2026-05/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2026-0877 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2026-0877 Для Ubuntu: https://ubuntu.com/security/CVE-2026-0877 Для Ред ОС: http://repo.red-soft.ru/redos/8.0/x86_64/updates/

Источники (1)

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 8.1

Уточните SLA под вашу среду

Базовый балл 8.1 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации0.0%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2026-01-13

Опубликована

2026-03-19

Обновлена

2026-03-19

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2026-0877 MITRE: CWE-693 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2026-03322
Критический
8.8

Уязвимость браузера Mozilla Firefox, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю вып

BDU:2026-03321
Высокий
6.5

Уязвимость компонента анализа и вычислений CSS браузера Mozilla Firefox, позволяющая нарушителю обойти существующие меха

BDU:2026-03320
Критический
8.8

Уязвимость компонента Audio/Video: Playback браузера Mozilla Firefox, позволяющая нарушителю выполнить произвольный код

BDU:2026-02403
Средний
7.4

Уязвимость сервера telnetd пакета сетевых программ inetutils, позволяющая нарушителю повысить свои привилегии до уровня

BDU:2026-02014
Критический
8.8

Уязвимость компонента libvpx браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушит

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0