Konqueror跨域Cookie注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1201365 漏洞类型 权限许可和访问控制
发布时间 2004-08-23 更新时间 2005-10-20
CVE编号 CVE-2004-0867 CNNVD-ID CNNVD-200412-117
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200412-117
|漏洞详情
KDE是一款免费开放源代码X桌面管理程序。KDEKonqueror浏览器不正确处理COOKIE信息,远程攻击者可以利用这个漏洞注入恶意数据到COOKIE中。在受影响域下操作的WEB站点可以设置HTTPCOOKIE,使KonquerorWeb浏览器可以发送COOKIE信息到操作在相同域中其他WEB站点上。恶意WEB站点可以利用这个漏洞进行类似会话定置的攻击(http://www.acros.si/papers/session_fixation.pdf)。此漏洞影响所有域第二级字符超过2个字符的域名,如:.ltd.uk,.plc.uk和.firm.in。必须注意的是流行的域名如.co.uk,.co.in和.com不受此漏洞影响。
|参考资料

来源:bugzilla.mozilla.org
链接:https://bugzilla.mozilla.org/show_bug.cgi?id=252342
来源:XF
名称:web-browser-session-hijack(17415)
链接:http://xforce.iss.net/xforce/xfdb/17415
来源:BID
名称:11186
链接:http://www.securityfocus.com/bid/11186
来源:SECTRACK
名称:1011331
链接:http://securitytracker.com/id?1011331
来源:SECUNIA
名称:12580
链接:http://secunia.com/advisories/12580/
来源:BUGTRAQ
名称:20040916wp-04-0001:MultipleBrowserCookieInjectionVulnerabilities
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109536612321898&w=2
来源:kuza55.blogspot.com
链接:http://kuza55.blogspot.com/2008/02/understanding-cookie-security.html