某Chrome Exif信息查看插件信息输出未处理可导致XSS（Zone测试为例）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0194934

漏洞标题：某Chrome Exif信息查看插件信息输出未处理可导致XSS（Zone测试为例）

漏洞作者： hack雪花

提交时间：2016-04-12 20:00

修复时间：2016-04-12 20:10

公开时间：2016-04-12 20:10

漏洞类型：XSS 跨站脚本攻击

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-04-12：细节已通知厂商并且等待厂商处理中
2016-04-12：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

玩测试

详细说明：

图xss

漏洞证明：

$_WUN0I3B[{BU3SC)]C66N[I.png$

利用手机拍摄照片修改图片信息中插入XSS代码上传到社区实现XSS效果

修复方案：

过滤你们更专业

版权声明：转载请注明来源 hack雪花@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-04-12 20:10

厂商回复：

该问题源自一些浏览器查看图片 Exif 信息的插件，如果图片里面含有 XSS 代码，这些插件在展现信息渲染的时候就会被执行，导致在本不存在漏洞的网页中“制造”出 XSS 漏洞，安装了此类存在设计隐患的浏览器插件的伙伴需要注意。
尽管不是社区的安全漏洞，但我们接下来也会对用户上传的图片进行二次处理，删除掉Exif信息，防止乌云的朋友们不小心因Exif泄露信息。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0194934

漏洞标题：某Chrome Exif信息查看插件信息输出未处理可导致XSS（Zone测试为例）

相关厂商：乌云官方

漏洞作者： hack雪花

提交时间：2016-04-12 20:00

修复时间：2016-04-12 20:10

公开时间：2016-04-12 20:10

漏洞类型：XSS 跨站脚本攻击

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 hack雪花@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0194934

漏洞标题：某Chrome Exif信息查看插件信息输出未处理可导致XSS（Zone测试为例）

相关厂商：乌云官方

漏洞作者： hack雪花

提交时间：2016-04-12 20:00

修复时间：2016-04-12 20:10

公开时间：2016-04-12 20:10

漏洞类型：XSS 跨站脚本攻击

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0194934"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 hack雪花@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：