0x01 漏洞描述
此外,Firefox 124.0.1之前版本和Firefox ESR 115.9.1之前版本桌面版中还修复了一个代码执行漏洞(CVE-2024-29944),威胁者可将事件处理程序注入特权对象,从而可能导致在父进程中执行任意JavaScript。
0x02 影响范围
https://github.com/bjrjk/CVE-2024-29943
Firefox 124.0.1之前版本中,由于基于范围的边界检查消除过程中存在问题,威胁者可通过绕过预期安全检查的方式操纵JavaScript对象执行越界读取或写入,成功利用可能导致远程代码执行。
https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/
CVE-2024-29943
Firefox < 124.0.1
CVE-2024-29944
Firefox < 124.0.1
Firefox ESR < 115.9.1
注:CVE-2024-29944仅影响桌面版Firefox,不影响移动版Firefox。
0x03 POC演示
POC下载地址
原文始发于微信公众号(渗透Xiao白帽):福利 | CVE-2024-29943 Firefox RCE (附EXP)内网书籍赠送
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论