FireFTP Firefox扩展双引号安全绕过漏洞

运维 系统运维
浏览器已经成为我们不可或缺的软件之一,而火狐就是最流行的一款浏览器。Firefox由于开源拥有大量的开发者开放的扩展组件,这也是火狐变得强大的主要原因之一。如果你是Firefox浏览器的忠实拥趸,相信你也会有心目中优秀的附件组件。本文讲述的是Firefox的插件FireFTP

 

[[19674]] 

图-FireFTP

FireFTP Firefox扩展双引号安全绕过漏洞,方法很简单。

  Bugraq ID: 36536

  CNCAN ID:CNCAN-2009093003

  漏洞起因

  输入验证错误

  影响系统

  FireFTP 1.0.5

  不受影响系统

  FireFTP 1.0.6

  危害

  远程攻击者可以利用漏洞绕过安全限制执行未授权操作。

  攻击所需条件

  攻击者必须构建恶意文件,诱使用户处理。

  漏洞信息

  FireFTP Firefox是一款基于Mozilla Firefox的FTP客户端扩展。

  FireFTP在处理文件名时,没有正确转义就传递给psftp.exe处理,攻击者可诱使用户下载文件到Firefox安装目录或通过在SFTP服务器上的特殊命名的文件执行用户不期的SFTP操作。

  成功利用漏洞需要攻击者诱使用户在SFTP服务器上执行移动,删除,mode更改操作或从SFTP服务器上下载特殊名字的文件。

  测试方法

  厂商解决方案

  用户可升级到FireFTP 1.0.6版本:

  FireFTP FireFTP 1.0.5

  FireFTP fireftp-1.0.6-fx.xpi

  http://releases.mozilla.org/pub/mozilla.org/addons/684/fireftp-1.0.6-f x.xpi

  漏洞提供者

  Tan Chew Keong

  漏洞消息链接

  http://vuln.sg/fireftp105-en.html

  漏洞消息标题

  FireFTP for FireFox SFTP Command Manipulation Security Issue

通过正文的说明,想必大家都知道了FireFTP漏洞修补方法!希望对大家有用!

【编辑推荐】

 

责任编辑:赵鹏 来源: 网络转载
相关推荐

2011-02-24 10:33:59

2011-03-07 15:30:06

fireFTPfirefox

2011-02-24 09:57:50

FireFTP

2011-03-07 15:55:02

FireFox Fir

2011-03-07 15:17:12

FireFTPfirfox

2011-03-07 16:10:41

FireFTPFirefoxFTP

2011-02-24 10:11:31

FireFTPFirefox

2009-03-07 09:59:16

2011-03-07 15:42:03

2009-10-29 13:32:05

漏洞

2021-04-04 22:48:20

Linux网络安全、漏洞

2009-10-27 15:21:04

2022-05-19 23:40:34

SQL语句引号

2022-03-23 14:04:32

SQL字符串数据类型

2021-01-29 10:29:17

漏洞中间人攻击网络攻击

2011-05-19 13:45:15

PHP单引号双引号

2022-11-14 14:51:23

单引号双引号Linux

2021-10-14 06:51:55

Shell 单引号双引号

2023-11-15 12:53:31

2010-07-13 11:25:42

Perl双引号
点赞
收藏

51CTO技术栈公众号