盈世Coremail的存储型XSS轻轻松松即可触发

感觉Coremail邮箱应该在某个地方存在过滤缺陷，故查看了下http://**.**.**.**/的用户列表，恰好有个朋友她们用的就是该邮件系统的邮箱，故让其帮忙申请了个内部邮箱，一番测试果然该处存在xss漏洞，触发简单，容易中招。漏洞地点在收件人昵称处，绕过方式：发信人设置昵称为a"/><style onload=alert(1)>或者a"/><img src=x onerror=alert(1)>等等类似昵称，给Coremail邮箱用户发信，Coremail用户收到信件后打开 漏洞未触发。此时如果Coremail用户给发件人回复信件如图：

点击发送信件，则会触发xss漏洞，如题：

鉴于发件人昵称处一般存在长度限制，故写个群发工具，就可以避免该限制，实现大批量获取Coremail邮箱用户cookies信息。工具丑，简单附个图：

综上，漏洞触发简单，无浏览器限制， 危害大。

感觉Coremail邮箱应该在某个地方存在过滤缺陷，故查看了下http://**.**.**.**/的用户列表，恰好有个朋友她们用的就是该邮件系统的邮箱，故让其帮忙申请了个内部邮箱，一番测试果然该处存在xss漏洞，触发简单，容易中招。漏洞地点在收件人昵称处，绕过方式：发信人设置昵称为a"/><style onload=alert(1)>或者a"/><img src=x onerror=alert(1)>等等类似昵称，给Coremail邮箱用户发信，Coremail用户收到信件后打开 漏洞未触发。此时如果Coremail用户给发件人回复信件如图：

点击发送信件，则会触发xss漏洞，如题：

鉴于发件人昵称处一般存在长度限制，故写个群发工具，就可以避免该限制，实现大批量获取Coremail邮箱用户cookies信息。工具丑，简单附个图：

综上，漏洞触发简单，无浏览器限制， 危害大。

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2015-07-1915:17

厂商回复：

感谢白帽子的反馈，该漏漏洞在新版本已修复，正加急对受影响的客户组织修复工作.

最新状态：

暂无

1. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

   目测又要给钱啊

2. 2010-01-01 00:00 随随意意 白帽子 | Rank:125 漏洞数:14)

   卧槽、、、

3. 2010-01-01 00:00 随随意意 白帽子 | Rank:125 漏洞数:14)

   求大侠联系我

4. 2010-01-01 00:00 魂淡 白帽子 | Rank:15 漏洞数:1)

   遮的那么严QQ号还是泄漏了

5. 2010-01-01 00:00 : ) 白帽子 | Rank:45 漏洞数:3)

   @魂淡 看洞主的好像都遮了吧？还是泄露了？