Mozilla lanzó Firefox 149 el 24 de marzo de 2026, corrigiendo 37 vulnerabilidades que afectan múltiples componentes del navegador, incluyendo corrupción de memoria, escapes de sandbox, fallos use-after-free y riesgos de ejecución remota de código. Esta actualización, con una clasificación de impacto general alta, remedia importantes vectores de ataque, especialmente seis vulnerabilidades de escape de sandbox que permiten a un atacante ejecutar código arbitrario directamente en el sistema anfitrión.
CVE y severidad
| CVE | Descripción | Severidad | Componente | Reportero |
|---|---|---|---|---|
| CVE-2026-4684 | Race condition y use-after-free en WebRender | Alta | Graphics: WebRender | Oskar L |
| CVE-2026-4687 | Escape de sandbox por condiciones límite incorrectas | Alta | Telemetry, Disability Access APIs, XPCOM | Sajeeb Lohani |
| CVE-2026-4688 | Escape de sandbox vía use-after-free | Alta | Telemetry, Disability Access APIs, XPCOM | Sajeeb Lohani |
| CVE-2026-4689 | Escape de sandbox con desbordamiento entero y condiciones límite incorrectas | Alta | Telemetry, Disability Access APIs, XPCOM | Sajeeb Lohani |
| CVE-2026-4690 | Escape de sandbox con desbordamiento entero y condiciones límite incorrectas | Alta | Telemetry, Disability Access APIs, XPCOM | Sajeeb Lohani |
| CVE-2026-4698 | Error de compilación JIT en Motor JavaScript con riesgo alto de ejecución remota | Alta | Motor JavaScript | Maxpl0it (Trend Micro ZDI) |
| CVE-2026-4720 | Vulnerabilidades de seguridad en memoria – posible ejecución arbitraria de código | Alta | Varias (seguridad memoria) | Mozila Fuzzing Team y colaboradores |
| CVE-2026-4721 | Vulnerabilidades de seguridad en memoria – posible ejecución arbitraria de código | Alta | Varias (seguridad memoria) | Mozila Fuzzing Team y colaboradores |
| CVE-2026-4729 | Vulnerabilidades de seguridad en memoria – posible ejecución arbitraria de código | Alta | Varias (seguridad memoria) | Mozila Fuzzing Team y colaboradores |
Productos afectados
Todas las vulnerabilidades afectan a versiones de Firefox anteriores a la 149. También se publicaron parches correspondientes para Firefox ESR 140.9 y Firefox ESR 115.34.
Solución
Actualizar a Firefox versión 149 inmediatamente mediante el actualizador incorporado o descargando desde el sitio oficial de Mozilla.
Recomendaciones
Dado el alto número de vulnerabilidades que incluyen escapes de sandbox y ejecución remota, se recomienda priorizar la actualización en entornos empresariales para reducir riesgos; validar la instalación completa y reiniciar el navegador tras aplicar la actualización.
Referencias
- Cybersecurity News – Firefox 149 Released (original)
- NVD CVE-2026-4684
- MITRE CVE-2026-4684
- NVD CVE-2026-4687
- MITRE CVE-2026-4687
- NVD CVE-2026-4688
- MITRE CVE-2026-4688
- NVD CVE-2026-4689
- MITRE CVE-2026-4689
- NVD CVE-2026-4690
- MITRE CVE-2026-4690
- NVD CVE-2026-4698
- MITRE CVE-2026-4698
- NVD CVE-2026-4720
- MITRE CVE-2026-4720
- NVD CVE-2026-4721
- MITRE CVE-2026-4721
- NVD CVE-2026-4729
- MITRE CVE-2026-4729