Evernote修复客户端XSS漏洞：可执行命令并窃取文件

安全专家在印象笔记（Evernote）应用程序Windows 客户端发现一个存储型XSS漏洞，该漏洞可被用于窃取文件、执行任意命令。

据报道，以昵称“@sebao”在网上活动的安全专家在印象笔记应用程序Windows 客户端中发现存储型跨站点脚本（XSS）漏洞，攻击者可利用该漏洞窃取文件以及执行任意命令。

Sebao注意到，用户在笔记中添加照片后，可以使用JavaScript代码对文件重命名，而不是普通名称。该专家发现，当该笔记被分享至另一个印象笔记用户时，接收者点击图片便可执行该代码。

印象笔记于九月发布版本6.16.，对该存储型XSS漏洞进行了修复，但并未完全修复该漏洞。

知道创宇404实验室（Knownsec 404 Team）专家朱铜庆发现，上述方法经变通后仍能执行任意代码。

朱铜庆发现，该取代“名称”命名的“代码”可从远程服务器下载Node.js文件，该脚本可通过印象笔记在演示模式下使用的NodeWebKit执行。

朱铜庆解释道，“我发现，NodeWebKit存在于印象笔记的‘C:\Program Files(x86)\Evernote\Evernote\NodeWebKit’文件中，且在演示模式下可用。另一个好消息是，我们可在演示模式下利用存储型XSS执行Nodejs代码。”

攻击者只需诱导印象笔记在演示模式下打开一个笔记，便可窃取任意文件并执行命令。

朱铜庆演示了黑客如何利用该漏洞在目标系统中读取Windows文件，以及执行Calculator应用程序。

印象笔记于10月发布了Windows 6.16.1测试版，首次修复了该编号为“CVE-2018-18524”的漏洞。而印象笔记于本月初发布的Evernote 6.16.4中，发布了该漏洞的终极补丁。

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。