当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0194934

漏洞标题:某Chrome Exif信息查看插件信息输出未处理可导致XSS(Zone测试为例)

相关厂商:乌云官方

漏洞作者: hack雪花

提交时间:2016-04-12 20:00

修复时间:2016-04-12 20:10

公开时间:2016-04-12 20:10

漏洞类型:XSS 跨站脚本攻击

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-12: 细节已通知厂商并且等待厂商处理中
2016-04-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

玩测试

详细说明:

图xss

漏洞证明:

X]MUT41R2K`S4$0G)%A)LCE.png


_WUN0I3B[{BU3SC)]C66N[I.png


x1.png


利用手机拍摄照片修改图片信息中插入XSS代码上传到社区实现XSS效果

修复方案:

过滤你们更专业

版权声明:转载请注明来源 hack雪花@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-04-12 20:10

厂商回复:

该问题源自一些浏览器查看图片 Exif 信息的插件,如果图片里面含有 XSS 代码,这些插件在展现信息渲染的时候就会被执行,导致在本不存在漏洞的网页中“制造”出 XSS 漏洞,安装了此类存在设计隐患的浏览器插件的伙伴需要注意。
尽管不是社区的安全漏洞,但我们接下来也会对用户上传的图片进行二次处理,删除掉Exif信息,防止乌云的朋友们不小心因Exif泄露信息。

最新状态:

暂无