2014-04-15:细节已通知厂商并且等待厂商处理中
2014-04-15:厂商已经确认,细节仅向厂商公开
2014-04-18:细节向第三方安全合作伙伴开放
2014-04-25:细节向核心白帽子及相关领域专家公开
2014-05-05:细节向普通白帽子公开
2014-05-25:细节向实习白帽子公开
2014-07-14:细节向公众公开
印象笔记剪藏网页时未对网页内容做验证,导致存储型xss,可危及pc上的客户端。
详细说明:1.本地自建html
<p class="detail">http://www.baidu.com/test.php?tplid='"><script>alert(20140408);</script><"http://www.baidu.com/test</p>
2.使用evernote的网页剪藏插件剪藏网页,然后编辑,将网页上的内容变为超链接。
编辑前:
编辑后:
3.开始出现效果。
web:
pc:
漏洞证明:
修复方案:
过滤
版权声明:转载请注明来源 letmypeoplego@乌云漏洞回应 厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2014-04-15 17:36
厂商回复:感谢对印象笔记的支持
最新状态:暂无