Múltiples vulnerabilidades críticas afectan a Thunderbird

Análisis

Mozilla ha emitido dos avisos de seguridad en los que detalla varias vulnerabilidades críticas y moderadas que afectan a las versiones 128.11 y 139 de Thunderbird. Estas vulnerabilidades también tienen relación con versiones anteriores de Firefox, ya que ambos productos comparten gran parte del mismo motor de renderizado y procesamiento.

Entre las vulnerabilidades más destacadas se encuentran:

• • • CVE‑2025‑5283: Esta vulnerabilidad crítica está relacionada con un fallo de doble liberación de memoria (“double-free”) en la biblioteca libvpx, utilizada para procesar contenido de video en WebRTC. En escenarios donde se intenta inicializar una sesión de WebRTC tras un error de asignación de memoria, el sistema puede intentar liberar dos veces la misma dirección, lo que podría permitir a un atacante ejecutar código malicioso si logra manipular esa memoria.
    • CVE‑2025‑5262: En este caso, no se trata de una vulnerabilidad técnica per se, sino de un error en la asignación del identificador CVE. Mozilla lo asignó incorrectamente, cuando esta gestión debía haber sido realizada por otro organismo autorizado. Este tipo de errores pueden provocar problemas de trazabilidad, dificultando la implementación de parches o la documentación de riesgos en las organizaciones.
    • CVE‑2025‑5280 y CVE‑2025‑5282 : Se refieren a fallos en la seguridad de la memoria, donde el acceso a zonas de memoria no seguras o no autorizadas podría ser aprovechado por un atacante para ejecutar código arbitrario, sobre todo en contextos que simulen un entorno de navegador.
    • Otras vulnerabilidades moderadas incluyen fallos de aislamiento entre orígenes (lo que puede permitir fugas de información entre pestañas o marcos de diferentes dominios), problemas con el copiado de comandos (“Copy as cURL”) que no escapan correctamente caracteres peligrosos, y condiciones que podrían permitir ataques de clickjacking o desbordamientos leves.

Aunque muchas de estas vulnerabilidades no se pueden explotar directamente a través del correo electrónico (ya que Thunderbird bloquea scripts por defecto), sí representan un riesgo si el contenido del correo se renderiza en contextos más amplios, o si el usuario interactúa con enlaces o archivos maliciosos adjuntos.

Recursos Afectados

• • Thunderbird 128.11 y versiones anteriores no parcheadas.
  • Thunderbird 139 y versiones anteriores.
  • Entornos que usan bibliotecas compartidas como libvpx, especialmente en conjunto con WebRTC.
  • Sistemas o usuarios que utilizan funcionalidades como “Copy as cURL” sin validación o sanitización de entradas.
  • Equipos de seguridad que gestionan CVEs de manera automatizada, que podrían verse afectados por la confusión generada por la mala asignación del CVE‑2025‑5262.

Recomendaciones

• • Actualizar inmediatamente Thunderbird a las versiones corregidas (128.11, 139 o superior), donde ya se han aplicado los parches de seguridad.
  • Si se utiliza Firefox o entornos similares, asegurarse también de aplicar las actualizaciones correspondientes, ya que las vulnerabilidades de memoria podrían ser compartidas entre productos.
  • Evitar la apertura de archivos adjuntos sospechosos o enlaces no verificados desde Thunderbird, especialmente si se utilizan funcionalidades como WebRTC o comandos CLI generados desde el cliente.
  • En entornos corporativos, verificar la consistencia de los identificadores CVE registrados con fuentes oficiales y ajustar la documentación si se detectan asignaciones incorrectas.
  • Monitorizar el comportamiento de Thunderbird en entornos con acceso a red, asegurando que no se permite la ejecución de código fuera del entorno controlado del cliente de correo.

Referencias

• • CVE-2025-55145 | INCIBE-CERT | INCIBE
  • Security Vulnerabilities fixed in Thunderbird 128.11 — Mozilla
  • Security Vulnerabilities fixed in Thunderbird 139 — Mozilla