pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#1 yarssr 处理GUI.pm URL时命令注入
来源
secunia.com
软件名
yarssr 0.x
描述
这可恶意危害用户系统
GUI.pm模块在"exec()"说明中使用URL前没有正确的过滤URL来打开浏览器,这可通过欺骗用户点击恶意链接源来注入和执行任意用户运行yarssr权限的命令
执行成功需要"Gnome default" URL处理不可用
该漏洞在Ubuntu 7.10下的yassr 0.2.2中已经确认
解决方案
不要订阅不可信源
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
