Mozilla ha publicat actualitzacions de seguretat per a corregir una vulnerabilitat en el seu client de correu electrònic Thunderbird, identificada com a CVE-2026-4371. Aquest error podria permetre a un atacant comprometre la confidencialitat de la informació o provocar fallades en l’aplicació.
Anàlisi
La vulnerabilitat CVE-2026-4371 està classificada amb una severitat alta (CVSS 7,4) i afecta el parser de correu de Thunderbird. El problema es produïx a causa d’una validació incorrecta de cadenes amb longituds negatives, la qual cosa provoca una lectura de memòria fora dels límits del búfer (out-of-bounds read).
Un atacant podria explotar esta vulnerabilitat mitjançant un servidor de correu maliciós o una connexió compromesa, enviant dades especialment dissenyades que desencadenen l’error en el processament. Com a conseqüència, el client podria bloquejar-se (DoS) o fins i tot filtrar informació sensible emmagatzemada en memòria.
Encara que l’explotació requerix certes condicions, com el control o compromís del servidor de correu, no requerix interacció de l’usuari ni privilegis previs, la qual cosa augmenta el seu impacte potencial en entorns on Thunderbird s’utilitza de manera habitual. Mozilla ha publicat versions corregides del producte, solucionant el problema en les versions més recents del client.
Vulnerabilitats
CVE-2026-4371
Producte: Mozilla Thunderbird
Versions afectades: versions anteriors a 149 i 140.9 ESR
Actualització: solucionat en Thunderbird 149 i Thunderbird 140.9 ESR o versions posteriors
Recomanacions
Es recomana actualitzar Thunderbird a l’última versió disponible tan prompte com siga possible per a mitigar el risc. Així mateix, s’aconsella evitar connexions a servidors de correu no confiables i monitoritzar comportaments anòmals en el client de correu.
Referències
https://nvd.nist.gov/vuln/detail/CVE-2026-4371
https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2026-4371