Arbitrary code execution due to improper sanitization of web app properties in PWAsForFirefox (CVE-2024-32986)
CVE编号
CVE-2024-32986利用情况
暂无补丁情况
N/A披露时间
2024-05-03漏洞描述
PWAsForFirefox是一个用于在Mozilla Firefox中安装、管理和使用渐进式Web应用程序(PWAs)的工具。由于未正确对Web应用程序属性(如名称、描述、快捷方式)进行消毒处理,恶意Web应用程序能够向XDG桌面条目(在Linux上)和`AppInfo.ini`(在PortableApps.com上)注入额外的行。这允许恶意Web应用程序引入诸如`Exec`之类的键,在启动受影响的Web应用程序时运行任意代码。此漏洞影响所有Linux和PortableApps.com用户的所有PWAsForFirefox版本,直到(不包括)2.12.0。Windows和macOS用户不受影响。此漏洞已在提交`9932d4b`中修复,该提交已包含在v2.12.0版本中。主要修复是在本地部分实施的,但扩展还包含其他修复。建议所有Linux和PortableApps.com用户尽快升级到此版本。对于Windows和macOS用户,也建议升级到此版本,因为它包含与属性消毒相关的其他修复。目前没有已知的此漏洞解决方案。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论