freedom dangerzone转义、元或控制序列转义处理不恰当漏洞(CVE-2023-39342)
CVE编号
CVE-2023-39342利用情况
暂无补丁情况
N/A披露时间
2023-08-09漏洞描述
Dangerzone是一款将潜在危险的PDF、办公文档或图像转换为安全PDF的软件。该软件的CLI(dangerzone-cli命令)会记录来自文件消毒容器的输出,输出到用户的终端。在0.4.2版本之前,如果容器被攻击者控制并返回攻击者控制的字符串,则攻击者可能能够欺骗用户终端上的消息或更改窗口标题。此外,Dangerzone还会记录消毒的文件名称。如果这些文件包含ANSI转义序列,则同样会出现此问题。由于Dangerzone主要是GUI应用程序,因此大多数用户不受此问题的影响。但是,我们建议用户升级到最新版本。此问题已在Dangerzone 0.4.2中得到修复。解决建议
"将组件 dangerzone 升级至 0.4.2 及以上版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | freedom | dangerzone | * | Up to (excluding) 0.4.2 | |||||
- 攻击路径 本地
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 无
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-150 | 转义、元或控制序列转义处理不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论