note

CVE-2026-10701 presenta vettore AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N: sfruttabile remotamente, senza requisiti di autenticazione né interazione utente, con impatto in confidenzialità alta e scope limitato al processo corrente. Il priority_score supera la soglia critical. Il CWE-119 indica una gestione non corretta dei limiti di un buffer nel componente grafico di testo, potenzialmente raggiungibile tramite contenuto web appositamente costruito.

CVE-2026-10702 presenta vettore AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L: sfruttabile remotamente ma richiede interazione utente, con impatto limitato alla disponibilità (Low) e nessun impatto su confidenzialità o integrità. Il CWE-843 (Type Confusion) nel JIT compiler indica un accesso a risorse tramite tipo incompatibile. Priorità medium.

Entrambe le CVE impattano Mozilla Firefox nelle versioni precedenti a 151.0.3 (vendor: mozilla, product: firefox, end_excluding: 151.0.3).

Le due vulnerabilità differiscono significativamente per prerequisiti: CVE-2026-10701 non richiede interazione utente (UI:N), mentre CVE-2026-10702 la richiede (UI:R). L'impatto di CVE-2026-10701 è sulla confidenzialità (C:H), quello di CVE-2026-10702 sulla disponibilità (A:L).

Non risultano a oggi CVE nel catalogo CISA KEV, exploit in the wild o proof-of-concept pubblici.