攻击者可利用印象笔记中的XSS漏洞执行命令并窃取文件

Posted 2021-04-29 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com

小编来报：安全专家在印象笔记（Evernote）应用程序Windows 客户端发现一个存储型XSS漏洞，该漏洞可被用于窃取文件、执行任意命令。

据报道，以昵称“@sebao”在网上活动的安全专家在印象笔记应用程序Windows 客户端中发现存储型跨站点脚本（XSS）漏洞，攻击者可利用该漏洞窃取文件以及执行任意命令。

 

Sebao注意到，用户在笔记中添加照片后，可以使用javascript代码对文件重命名，而不是普通名称。该专家发现，当该笔记被分享至另一个印象笔记用户时，接收者点击图片便可执行该代码。

 

印象笔记于九月发布版本6.16.，对该存储型XSS漏洞进行了修复，但并未完全修复该漏洞。

 

知道创宇404实验室（Knownsec 404 Team）专家朱铜庆发现，上述方法经变通后仍能执行任意代码。

 

朱铜庆发现，该取代“名称”命名的“代码”可从远程服务器下载Node.js文件，该脚本可通过印象笔记在演示模式下使用的NodeWebKit执行。

 

朱铜庆解释道，“我发现，NodeWebKit存在于印象笔记的‘C:\\Program Files(x86)\Evernote\Evernote\NodeWebKit’文件中，且在演示模式下可用。另一个好消息是，我们可在演示模式下利用存储型XSS执行Nodejs代码。”

 

攻击者只需诱导印象笔记在演示模式下打开一个笔记，便可窃取任意文件并执行命令。

朱铜庆演示了黑客如何利用该漏洞在目标系统中读取Windows文件，以及执行Calculator应用程序。

 

印象笔记于10月发布了Windows 6.16.1测试版，首次修复了该编号为“CVE-2018-18524”的漏洞。而印象笔记于本月初发布的Evernote 6.16.4中，发布了该漏洞的终极补丁。

https://www.easyaq.com

推荐阅读：

• 
  

• 
  

• 
  

• 
  

• 
  

▼点击“阅读原文” 查看更多精彩内容

喜欢记得打赏小E哦！