ELinks 'loadmsgcat.c' 未信任搜索路径漏洞

CNNVD-ID编号 CNNVD-200704-247
CVE编号 CVE-2007-2027
发布时间 2007-04-13
更新时间 2007-08-02
漏洞类型 格式化字符串
漏洞来源 Arnaud Giersch is credited with discovery of this vulnerability.
危险等级 中危
威胁类型 本地
厂 商 elinks

漏洞介绍

Elinks的intl/gettext/loadmsgcat.c中的add_filename_to_string函数存在未信任搜索路径漏洞。本地用户可以通过造成Elinks使用\"../po\"\"目录中的不可信的gettext通讯录,执行格式化字符串攻击。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

参考网址

受影响实体

信息来源