一、 漏洞 CVE-2024-47884 基础信息
漏洞标题
火狐插件Foxmarks存在临时文件安全漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Foxmarks 是一个针对 Firefox 书签和历史记录的命令行只读接口。在 /tmp 目录下创建了一个临时文件,该文件包含 Firefox 书签数据库、历史记录、输入历史记录、访问计数器、使用计数器、浏览计数器以及更多关于使用 Firefox 的历史记录的敏感信息,并且该临时文件具有所有用户可读的权限。默认情况下,NamedTempFile 的权限设置为 0o600。然而,在复制数据库之后,文件权限也被一并复制,导致临时文件的权限被设置为 0x644,从而成为一个不安全的文件。恶意用户可以在目标用户执行 foxmarks 书签或 foxmarks 历史记录命令时读取该数据库。此漏洞已在 v2.1.0 版本中修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
关键资源的不正确权限授予
来源:AIGC 神龙大模型
漏洞标题
Insecure Temporary File in `foxmarks`
来源:美国国家漏洞数据库 NVD
漏洞描述信息
foxmarks is a CLI read-only interface for Firefox's bookmarks and history. A temporary file was created under the /tmp directory with read permissions for all users containing a copy of Firefox's database of bookmarks, history, input history, visits counter, use counter, view counter and more confidential information about the history of using Firefox. Permissions default to 0o600 for NamedTempFile. However, after copying the database, its permissions were copied with it resulting in an insecure file with 0x644 permissions. A malicious user is able to read the database when the targeted user executes foxmarks bookmarks or foxmarks history. This vulnerability is patched in v2.1.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
创建拥有不安全权限的临时文件
来源:美国国家漏洞数据库 NVD
漏洞标题
foxmarks 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
foxmarks是zefr0x个人开发者的一个速度极快、高度可扩展且易于集成的命令行只读界面。 foxmarks v2.1.0之前版本存在安全漏洞,该漏洞源于存在不安全权限,恶意用户能够读取数据库。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-47884 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-47884 的情报信息