Firefox Pocket插件中暴露出多个缺陷

 

 

一名安全研究人员报告了流行网络中的服务器端漏洞袖珍插件这是Firefox浏览器附带的。

 

这些安全漏洞可能会让黑客从该公司的服务器中过滤数据，并用恶意链接填充阅读列表。

 

Firefox浏览器中的Pocket按钮允许你只需点击一下，就可以将链接、视频、网页或文章保存到你的Pocket帐户，使你以后更容易阅读，通常是离线阅读。

 

然而，安全研究人员Clint Ruoho发现的漏洞使得黑客可以不受限制地从根目录访问托管应用程序的服务器，该研究人员在其博客文章中写道。

 

要做到这一点，黑客只需要：

研究人员的目标是利用服务的主要功能，能够在中添加服务器内部地址稍后再读'用户列表。

这可能使攻击者能够访问以下敏感服务器信息：

有了这些信息的帮助，就有可能获得不受限制的访问，允许黑客在后端服务器上以根级别的权限读取文件系统上的每个文件。

 

Ruoho后来向Pocket的所有者Read It报告了他发现的漏洞，并要求提供补丁。

针对这些问题，该公司发布了一项快速补救措施，并要求若浩将漏洞报告的完整曝光时间推迟21天。