漏洞标题
N/A
漏洞描述信息
## 漏洞概述
KDE Konqueror在KDE 3.1.2及更早版本中,不会从HTTP-Referer头部中的“user:password@host”形式的URL中移除认证凭证,从而使远程网站能够盗取链接到这些网站的页面的凭证。
## 影响版本
- KDE 3.1.2及更早版本
## 漏洞细节
KDE Konqueror浏览器未在将HTTP-Referer头部发送到其他网站之前移除URL中的用户认证信息(如用户名和密码)。这可能导致敏感的认证凭证泄露给接收HTTP-Referer头部的第三方网站。
## 漏洞影响
远程网站能够通过接收HTTP-Referer头中的URL信息,窃取用户的认证凭证,包括用户名和密码。这可能使用户面临身份盗窃和未经授权的访问风险。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
KDE Konqueror for KDE 3.1.2 and earlier does not remove authentication credentials from URLs of the "user:password@host" form in the HTTP-Referer header, which could allow remote web sites to steal the credentials for pages that link to the sites.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
KDE Konqueror HTTP REFERER验证信息泄露漏洞
漏洞描述信息
KDE是一款X Windows系统的图形桌面环境。Konqueror是K桌面环境的文件管理器,也可用于浏览WEB。 Konqueror不正确处理HTTP REFERER字段信息,远程攻击者可以利用这个漏洞通过网络嗅探获得用户验证的敏感信息。 Konqueror当提交类似 http://user:password@host/ 的URL请求时,会以明文方式并在用户不知晓的情况下,通过HTTP-referer字段发送出去,第三方用户可以通过截获网络通信获得这些敏感信息。
CVSS信息
N/A
漏洞类别
授权问题