LINUX.ORG.RU

История изменений

Исправление noname_user, (текущая версия) :

когда то я репортил им о скорее не уязвимости (в некоторых векторах атаки) , а использования из коробки возможности делать запросы через thunar куда угодно. Сказали это фича. Но я предпологал что с помощью некоторых манипуляций можно загрузить в систему вредоносный код с дальнейшем его выполнением.

https://i.imgur.com/IKERDQP.png

Cookie: __cfduid=***d5582128a41e0e8dadc91841499120696; session=***fQ.DDxVuA.IHI0iaqC4FLTWJiJOXBJHS-TQFY

Via: 1.1 vegur

Connection: close

Cf-Ray: 378d427a182a2***-EWR

Cf-Ipcountry: US

Cf-Visitor: {"scheme":"https"}

X-Request-Id: f94506b1-b5d3-4ff1-acdd-1fb0d42efcb5

Cf-Connecting-Ip: *

Connect-Time: 1

Accept-Language: ru-ua, ru;q=0.9

Accept-Encoding: gzip

Total-Route-Time: 0

Host: requestb.in

User-Agent: gvfs/1.32.2

ах да, CSRF никто не отменял и на баг баунти это почти что один из частых репортов
upd: кекнул:

That's interesting because a file containing / in its name is not valid. Linux uses / as a directory separator. I tried saving a file with similar name containing /, and I wasn't allowed. Also, no http requests were made, when the error was shown.

Исправление noname_user, :

когда то я репортил им о скорее не уязвимости (в некоторых векторах атаки) , а использования из коробки возможности делать запросы через thunar куда угодно. Сказали это фича. Но я предпологал что с помощью некоторых манипуляций можно загрузить в систему вредоносный код с дальнейшем его выполнением.

https://i.imgur.com/IKERDQP.png

Cookie: __cfduid=***d5582128a41e0e8dadc91841499120696; session=***fQ.DDxVuA.IHI0iaqC4FLTWJiJOXBJHS-TQFY

Via: 1.1 vegur

Connection: close

Cf-Ray: 378d427a182a2***-EWR

Cf-Ipcountry: US

Cf-Visitor: {"scheme":"https"}

X-Request-Id: f94506b1-b5d3-4ff1-acdd-1fb0d42efcb5

Cf-Connecting-Ip: *

Connect-Time: 1

Accept-Language: ru-ua, ru;q=0.9

Accept-Encoding: gzip

Total-Route-Time: 0

Host: requestb.in

User-Agent: gvfs/1.32.2

ах да, CSRF никто не отменял и на баг баунти это почти что один из частых репортов

Исправление noname_user, :

когда то я репортил им о скорее не уязвимости (в некоторых векторах атаки) , а использования из коробки возможности делать запросы через thunar куда угодно. Сказали это фича. Но я предпологал что с помощью некоторых манипуляций можно загрузить в систему вредоносный код с дальнейшем его выполнением.

https://i.imgur.com/IKERDQP.png

Cookie: __cfduid=***d5582128a41e0e8dadc91841499120696; session=***fQ.DDxVuA.IHI0iaqC4FLTWJiJOXBJHS-TQFY

Via: 1.1 vegur

Connection: close

Cf-Ray: 378d427a182a2***-EWR

Cf-Ipcountry: US

Cf-Visitor: {"scheme":"https"}

X-Request-Id: f94506b1-b5d3-4ff1-acdd-1fb0d42efcb5

Cf-Connecting-Ip: *

Connect-Time: 1

Accept-Language: ru-ua, ru;q=0.9

Accept-Encoding: gzip

Total-Route-Time: 0

Host: requestb.in

User-Agent: gvfs/1.32.2

Исходная версия noname_user, :

когда то я репортил им о скорее не уязвимости (в некоторых векторах атаки) , а использования из коробки возможности делать запросы через thunar куда угодно. Сказали это фича. Но я предпологал что с помощью некоторых манипуляций можно загрузить в систему вредоносный код с дальнейшем его выполнением.