发布日期：2006-11-21
更新日期：2008-03-17

受影响系统：

Mozilla Firefox 2.x

描述：

---

BUGTRAQ  ID: 21240
CVE(CAN) ID: CVE-2006-6077

Firefox是一款非常流行的开源WEB浏览器。

Firefox 2的Password Manager没有正确验证FORM元素内的ACTION URL是否匹配用户保存了密码的网站，远程攻击者通过另一个网页上的password INPUT元素，利用此漏洞可获取密码。

<*来源：Robert Chapin
  
  链接：http://secunia.com/advisories/23046
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

RCSR Proof of Concept: http://www[.]info-svc[.]com/news/11-21-2006/rcsr1/

建议：

---

厂商补丁：

Mozilla
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.mozilla.org/security/

浏览次数：1769
严重程度：0（网友投票）