Vulnerabilidad en Descarga de archivo no autorizada en Apple Safari para Windows (CVE-2007-4424)
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/08/2007
Última modificación:
09/04/2025
Descripción
Apple Safari para Windows 3.0.3 y anteriores no pide confirmación al usuario antes de descargar un archivo, lo cual permite a atacantes remotos descargar archivos de su elección al escritorio de un sistema cliente mediante determinado HTML, como se ha demostrado en un nombre de archivo en el atributo DATA de un elemento OBJECT. NOTA: podría argumentarse que esto no es una vulnerabilidad porque en realidad no se lanza un archivo peligroso, pero a fecha de 2007, se acepta generalmente que los navegadores web deberían preguntar a los usuarios antes de guardar contenido peligroso.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apple:safari:*:*:windows:*:*:*:*:* | 3.0.3 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://securityreason.com/securityalert/3022
- http://www.securityfocus.com/archive/1/476675/100/0/threaded
- http://www.securityfocus.com/archive/1/476690/100/0/threaded
- http://www.securityfocus.com/archive/1/477180/100/0/threaded
- http://www.securitytracker.com/id?1018575=
- http://securityreason.com/securityalert/3022
- http://www.securityfocus.com/archive/1/476675/100/0/threaded
- http://www.securityfocus.com/archive/1/476690/100/0/threaded
- http://www.securityfocus.com/archive/1/477180/100/0/threaded
- http://www.securitytracker.com/id?1018575=