Pidgin UPnP和Jabber协议处理拒绝服务漏洞 CVE-2008-2957 CNNVD-200807-012

6.4 AV AC AU C I A
发布: 2008-07-01
修订: 2017-09-29

Pidgin是一款跨平台的实时通信客户端,它支持多个常用的实时通信协议,用户可用同一个软件登录不同的实时通信服务。 Pidgin的XML解析器在解析畸形XML文件时存在内存泄露漏洞。不可信任的XML文档是通过UPnP和Jabber协议交换的,而UPnP实现没有限制HTTP下载的大小。由于可通过包含有任意URL的UDP报文触发下载,因此攻击者可以导致Pidgin从网站下载任意大小的文档,耗费带宽资源。 仅在有限的环境中才会出现上述两个漏洞: XML内存泄露漏洞要求用户连接到恶意的Jabber服务器,或连接到转发过程中无法检查畸形XML的Jabber服务器;仅在Pidgin启动时很小的时间窗口才可以利用UPnP漏洞。

0%
暂无可用Exp或PoC
当前有1条受影响产品信息