一、 漏洞 CVE-2025-11940 基础信息
漏洞信息
                                        # LibreWolf 安装程序路径漏洞

### 概述

LibreWolf 在 Windows 平台上存在一个安全漏洞,影响版本为 143.0.4-1 及以下。

### 影响版本

- **版本**:≤ 143.0.4-1
- **操作系统**:Windows

### 细节

- **漏洞位置**:`assets/setup.nsi` 文件(Installer 组件)
- **漏洞类型**:不安全的搜索路径(Uncontrolled search path)
- **攻击方式**:本地攻击
- **利用难度**:困难
- **相关提交(Patch)**:`dd10e31dd873e9cb309fad8aed921d45bf905a55`

### 影响

攻击者可能通过本地操纵文件搜索路径,引发潜在的安全风险。此漏洞的利用条件复杂,实际攻击难度较高。

### 修复建议

建议升级至版本 **144.0-1** 以修复此漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
LibreWolf Installer setup.nsi uncontrolled search path
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A security vulnerability has been detected in LibreWolf up to 143.0.4-1 on Windows. This affects an unknown function of the file assets/setup.nsi of the component Installer. Such manipulation leads to uncontrolled search path. The attack must be carried out locally. Attacks of this nature are highly complex. The exploitability is reported as difficult. Upgrading to version 144.0-1 mitigates this issue. The name of the patch is dd10e31dd873e9cb309fad8aed921d45bf905a55. It is suggested to upgrade the affected component.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对搜索路径元素未加控制
来源:美国国家漏洞数据库 NVD
漏洞标题
LibreWolf 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LibreWolf是LibreWolf开源的一个以Firefox为基础的网页浏览器。 LibreWolf 143.0.4-1及之前版本存在代码问题漏洞,该漏洞源于文件assets/setup.nsi中未知函数的搜索路径不受控制,可能导致本地攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11940 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-11940 的情报信息

  • 标题: report/librewolf/143.0.4-1/librewolf_installer_exe_hijacking.md at main · Cyber-Wo0dy/report · GitHub -- 🔗来源链接

    标签: related

    神龙速读
    report/librewolf/143.0.4-1/librewolf_installer_exe_hijacking.md at main · Cyber-Wo0dy/report · GitHub

  • 标题: Remove old WinUpdater migration code from NSIS installer · dd10e31dd8 - librewolf/bsys6 - Codeberg.org -- 🔗来源链接

    标签: patch

    神龙速读
    Remove old WinUpdater migration code from NSIS installer · dd10e31dd8 - librewolf/bsys6 - Codeberg.org

  • 标题: 144.0-1 - librewolf/bsys6 - Codeberg.org -- 🔗来源链接

    标签: patch

    神龙速读
    144.0-1 - librewolf/bsys6 - Codeberg.org

  • 标题: Login required -- 🔗来源链接

    标签: signature permissions-required

    神龙速读
    Login required

  • 标题: CVE-2025-11940 LibreWolf Installer setup.nsi uncontrolled search path -- 🔗来源链接

    标签: vdb-entry

    神龙速读
    CVE-2025-11940 LibreWolf Installer setup.nsi uncontrolled search path

  • 标题: Submit #671575: LibreWolf Librewolf installer 143.0.4-1 EXE Hijacking -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    Submit #671575: LibreWolf Librewolf installer 143.0.4-1 EXE Hijacking
  • https://nvd.nist.gov/vuln/detail/CVE-2025-11940
四、漏洞 CVE-2025-11940 的评论

暂无评论

发表评论