ewen-lbh/ffcss 晚期 Unicode 规范化漏洞 (CVE-2023-52081)
CVE编号
CVE-2023-52081利用情况
暂无补丁情况
N/A披露时间
2023-12-29漏洞描述
ffcss是一个应用和配置Firefox CSS主题的CLI界面。在版本0.2.0之前,`lookupPreprocess()`函数用于通过禁用正则表达式`[-_ .]`中的字符对字符串应用一些转换。然而,由于使用了NFKD类型的Unicode字符延迟标准化,可以绕过该验证并重新引入正则表达式`[-_ .]`中的所有字符。例如,`lookupPreprocess()`函数可以轻松使用等效的Unicode字符如U+FE4D(?)来绕过,这将导致省略U+005F(_)。`lookupPreprocess()`函数仅用于宽松搜索主题(不区分大小写,忽略破折号、下划线和点号),因此实际的安全影响被分类为低。此漏洞已在0.2.0中修复,目前没有已知的解决方法。解决建议
"将组件 github.com/ewen-lbh/ffcss 升级至 0.2.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/ewen-lbh/ffcss/commit/f9c491874b858a32fcae15045f169fd7d02f90dc | |
| https://github.com/ewen-lbh/ffcss/security/advisories/GHSA-wpmx-564x-h2mh |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 无
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-176 | Unicode编码处理不恰当 |
| CWE-74 | 输出中的特殊元素转义处理不恰当(注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论