CVE-2026-57962
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Złośliwy serwer LDAP, z którego Thunderbird pobiera dane do autouzupełniania książki adresowej, może przesyłać dowolnie duże ilości danych do klienta LDAP Thunderbirda, aż do jego awarii z powodu wyczerpania pamięci. Luka została naprawiona w Thunderbird 152.0.1 i Thunderbird 140.12.1.
Ocena ryzyka
Atakujący może doprowadzić do awarii Thunderbirda poprzez przeciążenie pamięci, co może skutkować utratą niezapisanych danych lub przerwaniem pracy użytkownika.
Rekomendacja
Niezwłocznie zaktualizuj Thunderbirda do wersji 152.0.1 lub 140.12.1. Ogranicz zaufanie do serwerów LDAP używanych do autouzupełniania książki adresowej.
Oryginalny opis (angielski, źródło NVD)
A malicious LDAP server, which a Thunderbird user is configured to query for address-book autocomplete, can stash arbitrarily large amounts of attacker-supplied data into the Thunderbird LDAP client until it crashes due to memory exhaustion. This vulnerability was fixed in Thunderbird 152.0.1 and Thunderbird 140.12.1.

