【安全通报】Xmind 2020 存在XSS导致命令执行漏洞

QQ截图20210510160017.png

近日,白帽汇安全研究院监测到 Xmind2020 存在XSS漏洞,攻击者可利用该漏洞进行命令执行。危害较大,建议广大用户不要打开来历不明的 xmind文档。

漏洞描述

XMind是功能齐全的思维导图和头脑风暴工具,主要用途为帮助用户捕捉想法,组织各类报表。由于软件允许用户以文件形式或自定义标题标题的形式存储JS代码,攻击者可以发送带有恶意JS代码的文件。用户打开文件后,从而执行攻击者预先设定好的命令。该漏洞评分:8.8,危害等级:高危。

影响版本

经测试,从官网上下载最新的 Linux-amd-64bit-10.3.1-202101132117,仍可进行命令执行。

复现步骤

测试环境:ubuntu-20.04

打开xmind后,在思维导图模式下输入以下Payload:

image-20210510172401068.png

点击大纲。在大纲模式下,选中payload,按下Ctrl+C快捷键触发该Payload,执行calc命令。

QQ截图20210510163602.png

修复方案

目前没有详细的解决方案提供,建议关注厂商主页更新,及时升级版本或更新漏洞补丁。

参考

[1] https://www.exploit-db.com/exploits/49827

[2] https://mp.weixin.qq.com/s/JCj4yPN5ORGt1WGc7gpuDQ

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐