WooYun.org

版本信息：

Foxmail收取邮件时，也是会保存到本地的，在C盘的appdata相关路径下，有一个tmp开头的文件夹，和客户端对应关系如下：

对mail_frame.html研究，发现使用了CSP策略，所以内联事件、script标签是无效的。根据定义的CSP策略，看起来只支持本地域。但是经过测试发现可以使用embed引入相关代码：

Foxmail中允许html格式下进行发送，通过大量测试，构造payload如下：
<embed code="evil.html" allowscriptaccess=always>
evil.html应该是一个我们能控制的页面。那么怎么在main_frame.html目录下进行引入呢？
通过测试发现，收到邮件的附件上的文本也是解压到这个目录下，并且没有进行文件名的重新命名。所以攻击思路大致如下：
（1）发一封邮件，带上恶意附件，用户点击，使附件出现在目录下。

（2）发第二封邮件，用户点击查看就中招。

这样就获得了一个本地域的XSS，看了一下本地域的API，没找到条件构成命令执行。不过可以嵌入页面的话，就能进行界面劫持或者其他问题。
粗略的演示下效果：