漏洞概要
关注数(24)
关注此漏洞
漏洞标题:eYou邮件系统邮件正文存储型XSS
提交时间:2014-06-30 12:16
修复时间:2014-09-28 12:18
公开时间:2014-09-28 12:18
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-06-30: 细节已通知厂商并且等待厂商处理中
2014-07-01: 厂商已经确认,细节仅向厂商公开
2014-07-04: 细节向第三方安全合作伙伴开放
2014-08-25: 细节向核心白帽子及相关领域专家公开
2014-09-04: 细节向普通白帽子公开
2014-09-14: 细节向实习白帽子公开
2014-09-28: 细节向公众公开
简要描述:
RT
详细说明:
以前老版本一直对XSS没啥防御,也就没好意思发。最近看手头上的一个eyou信箱升级到eyou5了。发现新版本开始对XSS进行过滤了就测试了一下,发现了一点问题。
#1
测试单个XSS攻击向量,如:
还是可以抵挡的住的。
#2
不过情况稍微复杂一些,你们的过滤规则就招架不住了。如:
面对较为复杂的场景时,你们的过滤规则就招架不住了。
漏洞证明:
因为是过滤器设计上的问题,所以我相信你们所有的版本都存在这个缺陷。如果重现上有困难可以发乌云短消息联系我。
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2014-07-01 17:58
厂商回复:
经查存在某些版本中,之前已有其他平台提交过类似问题,已有解决方案,我们将会与客户联系,尽快修正,非常感谢提供!
最新状态:
暂无