Microsoft Windows 平台上的 XZ Utils 容易受到参数注入攻击 (CVE-2024-47611)

admin
admin
admin
0
文章
0
评论
2024-10-03 15:29:59 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Microsoft Windows 平台上的 XZ Utils 容易受到参数注入攻击 (CVE-2024-47611)

CVE编号

CVE-2024-47611

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-02
漏洞描述
XZ Utils提供了一个通用的数据压缩库和命令行工具。当为原生Windows(MinGW-w64或MSVC)构建时,XZ Utils 5.6.2及更早版本的命令行工具存在命令行参数注入漏洞。如果命令行包含当前旧代码页中不存在的Unicode字符(例如文件名),这些字符将被转换为外观相似的字符,并使用最佳匹配映射。某些最佳匹配映射会导致ASCII字符改变命令行的含义,这可以利用恶意文件名进行参数注入或目录遍历攻击。此漏洞已在5.6.3中修复。为Cygwin或MSYS2构建的命令行工具不受影响。liblzma库不受影响。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/tukaani-project/xz/commit/bf518b9ba446327a062ddfe67e7e0a5baed2394f
https://github.com/tukaani-project/xz/security/advisories/GHSA-m538-c5qw-3cg4
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-176 Unicode编码处理不恰当
CWE-88 参数注入或修改
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-33209利用情况 暂无补丁情况 N/A披露时间 2024-10-03漏洞描述FlatPress v1.3 is vul
10-030 评论
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-33210利用情况 暂无补丁情况 N/A披露时间 2024-10-03漏洞描述Flatpress 1.3存在一个跨站脚本
10-030 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0