攻擊者可利用印象筆記中的XSS漏洞執行命令並竊取文件

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：安全專家在印象筆記（Evernote）應用程序Windows 客戶端發現一個存儲型XSS漏洞，該漏洞可被用於竊取文件、執行任意命令。

據報道，以昵稱「@sebao」在網上活動的安全專家在印象筆記應用程序Windows 客戶端中發現存儲型跨站點腳本（XSS）漏洞，攻擊者可利用該漏洞竊取文件以及執行任意命令。

Sebao注意到，用戶在筆記中添加照片後，可以使用JavaScript代碼對文件重命名，而不是普通名稱。。

印象筆記於九月發布版本6.16.，對該存儲型XSS漏洞進行了修復，但並未完全修復該漏洞。

知道創宇404實驗室（Knownsec 404 Team）專家朱銅慶發現，上述方法經變通後仍能執行任意代碼。

朱銅慶發現，該取代「名稱」命名的「代碼」可從遠程伺服器下載Node.js文件，該腳本可通過印象筆記在演示模式下使用的NodeWebKit執行。

朱銅慶解釋道，「我發現，NodeWebKit存在於印象筆記的『C:\Program Files(x86)EvernoteEvernoteNodeWebKit』文件中，且在演示模式下可用。另一個好消息是，我們可在演示模式下利用存儲型XSS執行Nodejs代碼。」

攻擊者只需誘導印象筆記在演示模式下打開一個筆記，便可竊取任意文件並執行命令。

朱銅慶演示了黑客如何利用該漏洞在目標系統中讀取Windows文件，以及執行Calculator應用程序。

印象筆記於10月發布了Windows 6.16.1測試版，首次修復了該編號為「CVE-2018-18524」的漏洞。而印象筆記於本月初發布的Evernote 6.16.4中，發布了該漏洞的終極補丁。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！