CVE-2025-11713 Firefox Copy as cURL功能转义不足导致代码执行

漏洞信息

漏洞编号

CVE-2025-11713

漏洞类型

命令注入/不安全转义

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Mozilla Firefox、Firefox ESR、Thunderbird

漏洞概述

CVE-2025-11713是Mozilla Firefox浏览器及其衍生产品Thunderbird中发现的一个高危安全漏洞。该漏洞存在于Firefox开发者工具中的"Copy as cURL"（复制为cURL命令）功能中，由于对用户可控内容缺乏充分的转义处理，攻击者可以构造恶意的网络请求，当用户在Windows操作系统上使用该功能将请求复制为cURL命令并粘贴执行时，可能导致意外代码的执行。

该漏洞的CVSS评分为8.1，属于高危级别。其攻击向量为网络（AV:N），无需认证（PR:N），但需要用户交互（UI:R），机密性和完整性影响均为高（C:H/I:H），可用性影响为无（A:N）。该漏洞仅影响在Windows操作系统上运行的应用程序，在其他操作系统（如Linux、macOS）上不受影响。

该漏洞由Mozilla安全团队发现并报告，已在Firefox 144、Firefox ESR 140.4、Thunderbird 144和Thunderbird 140.4版本中修复。Mozilla通过mfsa2025-81、mfsa2025-83、mfsa2025-84和mfsa2025-85等多个安全公告发布了修复信息。此漏洞主要影响开发者和安全研究人员等经常使用"Copy as cURL"功能的用户群体，利用场景需要用户主动复制并粘贴执行生成的命令，具有一定的社会工程学特征。

技术细节

该漏洞的核心问题在于Firefox开发者工具中"Copy as cURL"功能对网络请求参数的不充分转义处理。当开发者在Firefox开发者工具的Network面板中查看网络请求时，可以右键点击请求并选择"Copy as cURL"选项，将该请求转换为等效的cURL命令行命令。

在正常情况下，该功能会正确转义请求中的特殊字符（如引号、反引号、$符号等），以确保生成的cURL命令在粘贴到命令行终端执行时不会产生意外的shell解释行为。然而，由于该功能在Windows平台上的转义逻辑存在缺陷，攻击者可以构造包含恶意shell元字符的HTTP请求头或URL参数。当这些恶意字符未被充分转义时，生成的cURL命令中可能包含可被Windows命令解释器（cmd.exe）执行的额外命令。

利用方式如下：攻击者首先需要诱导用户访问一个恶意网站或在合法网站上触发恶意网络请求（例如通过XSS）。该恶意请求包含精心构造的HTTP头或参数，其中嵌入了Windows shell命令分隔符（如&、|等）。当用户在开发者工具中使用"Copy as cURL"功能复制该请求后，生成的命令将包含恶意代码。用户随后在命令行中粘贴并执行该命令时，恶意代码将被执行，从而导致攻击者可以在用户系统上执行任意命令。

此漏洞利用的关键条件包括：1）用户在Windows系统上运行Firefox；2）用户访问了包含恶意网络请求的页面；3）用户主动使用"Copy as cURL"功能；4）用户在命令行中粘贴并执行了生成的命令。整个攻击链需要用户多次主动操作，因此被归类为需要用户交互的漏洞。

攻击链分析

STEP 1

步骤1：部署恶意内容

攻击者创建一个包含恶意JavaScript的网页或利用XSS漏洞在合法网站上注入恶意代码，用于触发包含Windows shell元字符的网络请求。

STEP 2

步骤2：诱导用户访问

攻击者通过钓鱼邮件、恶意链接或其他社会工程学手段诱导Windows用户使用Firefox浏览器访问包含恶意网络请求的页面。

STEP 3

步骤3：触发网络请求

恶意页面执行JavaScript代码，发送包含未转义shell元字符（如&、|等）的HTTP请求到目标服务器。

STEP 4

步骤4：用户使用Copy as cURL功能

用户在Firefox开发者工具的Network面板中查看该恶意请求，并使用"Copy as cURL"功能将其复制为命令行命令。由于转义缺陷，生成的cURL命令中保留了危险的shell元字符。

STEP 5

步骤5：用户执行命令

用户在Windows命令提示符（cmd.exe）中粘贴并执行复制的cURL命令，导致恶意代码被执行，攻击者获得在用户系统上执行任意命令的能力。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11713 PoC - Malicious HTTP Request to exploit Copy as cURL
# This demonstrates how a malicious web page can trigger a vulnerable
# "Copy as cURL" output in Firefox DevTools on Windows

# Step 1: Create a malicious HTML page that triggers a network request
# with shell metacharacters in headers/URL parameters

malicious_html = '''
<!DOCTYPE html>
<html>
<head><title>Test Page</title></head>
<body>
<script>
// Craft a fetch request with malicious payload in headers
// The payload contains Windows command injection characters
fetch("https://example.com/api?param=value%26%26calc.exe", {
    method: "GET",
    headers: {
        "X-Custom-Header": "value & whoami & calc.exe",
        "User-Agent": "Mozilla/5.0 & malicious_command"
    },
    credentials: "include"
});
</script>
</body>
</html>
'''

# Step 2: When user opens DevTools -> Network tab, right-clicks the request
# and selects "Copy as cURL", Firefox generates an improperly escaped command:
#
# VULNERABLE OUTPUT (example):
# curl "https://example.com/api?param=value&&calc.exe" -H "X-Custom-Header: value & whoami & calc.exe" -H "User-Agent: Mozilla/5.0 & malicious_command"
#
# When pasted into Windows cmd.exe, the unescaped & characters cause
# command chaining, executing the injected commands.

# Step 3: User pastes into cmd.exe -> commands execute on victim's machine

print("PoC: Host the malicious HTML and trick user to use Copy as cURL on Windows")
print("Affected: Firefox < 144, Firefox ESR < 140.4, Thunderbird < 144")

影响范围

Mozilla Firefox < 144

Mozilla Firefox ESR < 140.4

Mozilla Thunderbird < 144

Mozilla Thunderbird < 140.4

防御指南

临时缓解措施

在无法立即升级的情况下，建议用户暂时避免在Windows系统上使用Firefox开发者工具的"Copy as cURL"功能。如需使用该功能，应先将复制的命令粘贴到文本编辑器中仔细检查，移除或转义所有可疑的shell元字符（如&、|、;等）后再在命令行中执行。同时保持警惕，不要轻易访问来源不明的网页链接。