漏洞标题 更改版本后对uc浏览器的错误处理会导致跨域脚本编写漏洞 相关制造商 UC Mobile 漏洞作者 XSER 提交时间 2016-03-29 10: 38 公共时间 2016-06-29 15: 40 漏洞类型 设计错误/逻辑缺陷 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 漏洞详细信息 与前辈http://**。**。**。**/bugs/wooyun-2010-0125244的漏洞比较错误页面 我发现新版本删除了URL之后的所有错误字符,但是ip被解析为##因为前辈们说poc解码可能导致漏洞。 如下图
直接使用pre的poc 访问 http://utf7.ml/t/uc3.html 点击 测试一下!
漏洞证明: 测试版是Android的最新版本
修理计划: 不要解码 版权声明:请注明出处Xser @乌云