印象笔记曝出存储XSS漏洞,可导致命令执行和文件读取

22.png

一位网名为@sebao的安全专家在印象笔记的Windows版应用程序中发现了一个存储的跨站脚本(XSS)漏洞,攻击者可以利用该漏洞窃取文件并执行任意命令。

该专家注意到,当用户将图片添加到注释中,然后重命名它时,你可以利用ja vasc ript代码填充名字。Sebao发现,如果该笔记与另一个用户共享,那么该ja vasc ript代码将在收件人单击图片时执行。

今年9月,Evernote发布了6.16版本,解决了存储的XSS缺陷。但修复工作并不完整。

来自Knownsec 404战队队的安全专家TongQing Zhu发现,上述XSS漏洞并未完全修复。

TongQing Zhu发现该漏洞可以用来加载一个来自远程服务器的node.js文件,而该脚本可以通过印象笔记的展示模式的NodeWebKit来执行。

TongQing Zhu说道:“我发现Evernote在C:\Program Files(x86)\Evernote\Evernote\NodeWebKit中有一个NodeWebKit,展示模式会使用它。另一个好消息是我们可以在当前模式下通过存储的XSS执行Nodejs代码。”

攻击者只需要诱骗他人在印象笔记的展示模式下打开一个笔记,这样就可以窃取任意文件并执行命令。

TongQing Zhu展示了黑客如何利用这个漏洞读取Windows文件并在目标系统上跳出计算器。

这个缺陷被追踪为CVE-2018-18524,最初是在10月份Windows 6.16.1测试版的印象笔记发布时被解决的。最后一个补丁是在本月早些时候发布的印象笔记 6.16.4版中。

TongQing Zhu发发布了两段关于漏洞利用的PoC视频:

33.png44.png

原文链接:https://securityaffairs.co/wordpress/77789/hacking/evernote-xss-flaw.html
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐