微点交流论坛

标题: yarssr 处理GUI.pm URL时命令注入 [打印本页]

作者: pioneer 时间: 2007-11-7 09:51 标题: yarssr 处理GUI.pm URL时命令注入

来源

secunia.com

软件名

yarssr 0.x

描述

这可恶意危害用户系统
GUI.pm模块在"exec()"说明中使用URL前没有正确的过滤URL来打开浏览器，这可通过欺骗用户点击恶意链接源来注入和执行任意用户运行yarssr权限的命令

执行成功需要"Gnome default" URL处理不可用

该漏洞在Ubuntu 7.10下的yassr 0.2.2中已经确认

解决方案

不要订阅不可信源

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn