つみかさね

CVE-2026-8094

Critical(9.8)

CVE-2026-8094 — Firefox ESR WebRTCコンポーネントのコードインジェクション

公開日: 2026-05-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Firefox ESRMozilla140.10.2 より前
ThunderbirdMozilla140.10.2 より前

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Firefox ESR / Thunderbird のバージョンを確認
  2. 2Firefox ESR 140.10.2 / Thunderbird 140.10.2 へアップデート
  3. 3即時アップデート不可の場合は WebRTC の無効化を検討

影響対象

Firefox ESRThunderbird
CVEFirefoxThunderbirdWebRTCコードインジェクション

概要

Firefox ESR および Thunderbird の WebRTC コンポーネントに深刻な脆弱性が発見されました。WebRTC はブラウザ間でのリアルタイム通信(音声・映像通話、画面共有など)を実現するための技術であり、多くのウェブアプリケーションで利用されています。

この脆弱性はコードインジェクション(CWE-94)に分類され、攻撃者が細工されたWebRTCセッションを通じて任意のコードを実行できる可能性があります。CVSSスコアは9.8(Critical)と非常に高く、ネットワーク経由で攻撃可能かつ特権やユーザー操作が不要なため、早急な対応が必要です。

Mozilla はこの脆弱性を Firefox ESR 140.10.2 および Thunderbird 140.10.2 で修正しています。

CVSSベクトル

指標
CVSSスコア9.8
深刻度Critical
CWECWE-94 (コードインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
Firefox ESRMozilla140.10.2 より前のバージョン
ThunderbirdMozilla140.10.2 より前のバージョン

修正バージョンと回避策

  • 修正バージョン: Firefox ESR 140.10.2 および Thunderbird 140.10.2 にアップデートしてください
  • 回避策: アップデートが即座に適用できない場合、WebRTC を使用するウェブサイトへのアクセスを制限することを検討してください
  • about:configmedia.peerconnection.enabledfalse に設定することで WebRTC を一時的に無効化できます(ただし音声・映像通話機能が使用不可になります)

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-8094
Bugzilla:https://bugzilla.mozilla.org/show_bug.cgi?id=2035939
MFSA 2026-41:https://www.mozilla.org/security/advisories/mfsa2026-41/
MFSA 2026-44:https://www.mozilla.org/security/advisories/mfsa2026-44/
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。