受影响系统:
Xfce Xfce-Terminal 0.2.6

描述:
Xfce Terminal是Xfce桌面环境的控制台工具。

Xfce Terminal在使用URL串构造命令调用时存在漏洞,远程攻击者可能利用此漏洞诱使用户执行恶意Shell命令。

Xfce Terminal的terminal/terminal.c文档中的terminal_helper_execute()函数使用/bin/sh -c生成浏览器进程,但没有正确的转义URL,假如用户受骗使用Open Link功能打开了恶意链接的话,就可能导致泄露敏感信息或执行Shell命令。

厂商补丁:
Xfce
现在厂商还没有提供补丁或升级程式,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.xfce.org/