漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0194934
漏洞标题:某Chrome Exif信息查看插件信息输出未处理可导致XSS(Zone测试为例)
相关厂商:乌云官方
漏洞作者: hack雪花
提交时间:2016-04-12 20:00
修复时间:2016-04-12 20:10
公开时间:2016-04-12 20:10
漏洞类型:XSS 跨站脚本攻击
危害等级:低
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-04-12: 细节已通知厂商并且等待厂商处理中
2016-04-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
玩测试
详细说明:
图xss
漏洞证明:
![X]MUT41R2K`S4$0G)%A)LCE.png](http://wimg.zone.ci/upload/201604/11125009a195a34d1c16b7ea4539cd38c7f7a5f7.png)
![_WUN0I3B[{BU3SC)]C66N[I.png](http://wimg.zone.ci/upload/201604/111251101c778e9450ae15b6d15d3bfe54488cad.png)
利用手机拍摄照片修改图片信息中插入XSS代码上传到社区实现XSS效果
修复方案:
过滤你们更专业
版权声明:转载请注明来源 hack雪花@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2016-04-12 20:10
厂商回复:
该问题源自一些浏览器查看图片 Exif 信息的插件,如果图片里面含有 XSS 代码,这些插件在展现信息渲染的时候就会被执行,导致在本不存在漏洞的网页中“制造”出 XSS 漏洞,安装了此类存在设计隐患的浏览器插件的伙伴需要注意。
尽管不是社区的安全漏洞,但我们接下来也会对用户上传的图片进行二次处理,删除掉Exif信息,防止乌云的朋友们不小心因Exif泄露信息。
最新状态:
暂无