Netscape/Mozilla 空字符插入URL中窃取Cookies漏洞

CVE编号

CVE-2002-2013

利用情况

暂无

补丁情况

N/A

披露时间

2002-12-31

漏洞描述

Mozilla 0.9.6 and earlier and Netscape 6.2 and earlier allows remote attackers to steal cookies from another domain via a link with a hex-encoded null character (%00) followed by the target domain.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://alive.znep.com/~marcs/security/mozillacookie/demo.html
http://archives.neohapsis.com/archives/bugtraq/2002-01/0270.html
http://www.iss.net/security_center/static/7973.php
http://www.securityfocus.com/bid/3925

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	mozilla	mozilla	0.9.2	-
	运行在以下环境
	应用	mozilla	mozilla	0.9.2.1	-
	运行在以下环境
	应用	mozilla	mozilla	0.9.3	-
	运行在以下环境
	应用	mozilla	mozilla	0.9.4	-
	运行在以下环境
	应用	mozilla	mozilla	0.9.4.1	-
	运行在以下环境
	应用	mozilla	mozilla	0.9.5	-
	运行在以下环境
	应用	mozilla	mozilla	0.9.6	-
	运行在以下环境
	应用	netscape	communicator	4.0	-
	运行在以下环境
	应用	netscape	communicator	4.06	-
	运行在以下环境
	应用	netscape	communicator	4.07	-
	运行在以下环境
	应用	netscape	communicator	4.08	-
	运行在以下环境
	应用	netscape	communicator	4.4	-
	运行在以下环境
	应用	netscape	communicator	4.5	-
	运行在以下环境
	应用	netscape	communicator	4.51	-
	运行在以下环境
	应用	netscape	communicator	4.5_beta	-
	运行在以下环境
	应用	netscape	communicator	4.6	-
	运行在以下环境
	应用	netscape	communicator	4.61	-
	运行在以下环境
	应用	netscape	communicator	4.7	-
	运行在以下环境
	应用	netscape	communicator	4.72	-
	运行在以下环境
	应用	netscape	communicator	4.73	-
	运行在以下环境
	应用	netscape	communicator	4.74	-
	运行在以下环境
	应用	netscape	communicator	4.75	-
	运行在以下环境
	应用	netscape	communicator	4.76	-
	运行在以下环境
	应用	netscape	communicator	4.77	-
	运行在以下环境
	应用	netscape	communicator	4.78	-
	运行在以下环境
	应用	netscape	navigator	4.77	-
	运行在以下环境
	应用	netscape	navigator	6.0	-
	运行在以下环境
	应用	netscape	navigator	6.01	-
	运行在以下环境
	应用	netscape	navigator	6.1	-
	运行在以下环境
	应用	netscape	navigator	6.2	-

CVSS3评分 5.0

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 N/A
• 用户交互 无
• 可用性 无
• 保密性 部分地
• 完整性 无

AV:N/AC:L/Au:N/C:P/I:N/A:N CWE-ID 漏洞类型 NVD-CWE-Other