联系我们联系我们
电子邮箱电子邮箱

攻击者可利用印象笔记中的XSS漏洞执行命令并窃取文件

[复制链接]
  • TA的每日心情
    开心
    2017-12-29 14:06
  • 签到天数: 1 天

    [LV.1]初来乍到

    gilgamesh 发表于 5 天前
    44 0

    安全专家在印象笔记(Evernote)应用程序Windows 客户端发现一个存储型XSS漏洞,该漏洞可被用于窃取文件、执行任意命令。

    以昵称“@sebao”在网上活动的安全专家在印象笔记应用程序Windows 客户端中发现存储型跨站点脚本(XSS)漏洞攻击者可利用该漏洞窃取文件以及执行任意命令

    Sebao注意到,用户在笔记中添加照片后,可以使用JavaScript代码对文件重命名,而不是普通名称。该专家发现,当该笔记被分享至另一个印象笔记用户时,接收者点击图片便可执行该代码

    印象笔记于九月发布版本6.16.,对该存储型XSS漏洞进行了修复,但并未完全修复该漏洞。

    知道创宇404实验室(Knownsec 404 Team)专家朱铜庆发现,上述方法经变通后仍能执行任意代码

    朱铜庆发现,该取代“名称”命名的“代码”可从远程服务器下载Node.js文件,该脚本可通过印象笔记在演示模式下使用的NodeWebKit执行。

    朱铜庆解释道,“我发现,NodeWebKit存在于印象笔记的‘C:\\Program Files(x86)\Evernote\Evernote\NodeWebKit’文件中,且在演示模式下可用。另一个好消息是,我们可在演示模式下利用存储型XSS执行Nodejs代码。”

    攻击者只需诱导印象笔记在演示模式下打开一个笔记,便可窃取任意文件并执行命令

    朱铜庆演示了黑客如何利用该漏洞在目标系统中读取Windows文件,以及执行Calculator应用程序。

    印象笔记于10月发布了Windows 6.16.1测试版,首次修复了该编号为“CVE-2018-18524”的漏洞。而印象笔记于本月初发布的Evernote 6.16.4中,发布了该漏洞的终极补丁。


    本文转自:E安全


    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    发表新帖

    小黑屋|手机版|Archiver|华盟论坛 ( 京ICP证070028号 )

    Powered by 华盟网 X 8.0  © 2001-2013 Comsenz Inc.  华夏黑客同盟