印象笔记曝出存储XSS漏洞,可导致命令执行和文件读取
一位网名为@sebao的安全专家在印象笔记的Windows版应用程序中发现了一个存储的跨站脚本(XSS)漏洞,攻击者可以利用该漏洞窃取文件并执行任意命令。
该专家注意到,当用户将图片添加到注释中,然后重命名它时,你可以利用ja vasc ript代码填充名字。Sebao发现,如果该笔记与另一个用户共享,那么该ja vasc ript代码将在收件人单击图片时执行。
今年9月,Evernote发布了6.16版本,解决了存储的XSS缺陷。但修复工作并不完整。
来自Knownsec 404战队队的安全专家TongQing Zhu发现,上述XSS漏洞并未完全修复。
TongQing Zhu发现该漏洞可以用来加载一个来自远程服务器的node.js文件,而该脚本可以通过印象笔记的展示模式的NodeWebKit来执行。
TongQing Zhu说道:“我发现Evernote在C:\Program Files(x86)\Evernote\Evernote\NodeWebKit中有一个NodeWebKit,展示模式会使用它。另一个好消息是我们可以在当前模式下通过存储的XSS执行Nodejs代码。”
攻击者只需要诱骗他人在印象笔记的展示模式下打开一个笔记,这样就可以窃取任意文件并执行命令。
TongQing Zhu展示了黑客如何利用这个漏洞读取Windows文件并在目标系统上跳出计算器。
这个缺陷被追踪为CVE-2018-18524,最初是在10月份Windows 6.16.1测试版的印象笔记发布时被解决的。最后一个补丁是在本月早些时候发布的印象笔记 6.16.4版中。
TongQing Zhu发发布了两段关于漏洞利用的PoC视频:
原文链接:https://securityaffairs.co/wordpress/77789/hacking/evernote-xss-flaw.html
最新评论