CVE-2025-14744 CVSS 6.5 中危

CVE-2025-14744: Firefox iOS下载文件名Unicode欺骗漏洞

披露日期: 2025-12-18

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-14744

漏洞类型

UI欺骗/文件名欺骗

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Firefox for iOS

漏洞概述

CVE-2025-14744是Firefox for iOS中的一个安全漏洞，该漏洞允许恶意网站利用Unicode RTLO（从右到左覆盖）字符来欺骗下载文件名。攻击者可以创建看似无害的文件名（例如document.pdf），实际上可能包含恶意可执行文件，从而诱导用户下载并执行恶意内容。该漏洞影响Firefox iOS 144.0之前的版本。

技术细节

攻击者通过在文件名中插入RTLO字符，将文件名显示为合法的文件类型，同时隐藏真实的文件扩展名。例如，恶意文件evil.exe可以通过RTLO字符显示为document.pdf。用户在下载时看到的文件类型与实际下载的文件类型不符，可能导致恶意软件执行。

攻击链分析

STEP 1

攻击者创建一个恶意文件，其文件名包含RTLO字符

STEP 2

恶意文件通过下载链接传播，文件名显示为合法的文档类型

STEP 3

用户下载并执行恶意文件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<script>window.location='data:text/html,<a href="evil.exe" download="document.pdf‮exe">Click</a>';</script>

影响范围

Firefox for iOS < 144.0

防御指南

临时缓解措施

用户在下载文件时，应仔细检查文件实际扩展名，不要仅依赖文件名显示

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表