Evernote Chrome插件XSS漏洞安全通告,威胁安全通告,安全研究
发布时间 2019-06-14漏洞编号和级别
CVE编号:CVE-2019-12592,危险级别:高危,CVSS分值:官方未评定
影响版本
受影响的版本
适用于Evernote的Chrome插件(Evernote Web Clipper) < 7.11.1。
漏洞概述
Evernote Web Clipper是一款浏览器插件,它是有印象笔记Evernote推出的一款剪藏插件,可以一键收藏各类网页图文,并永久保存进Evernote。同时,还能选择保存网页正文、隐藏广告、整个页面、网页截屏等,让你根据不同需求,选择保存内容。
Evernote的Chrome插件(Evernote Web Clipper)中存在一个严重的XSS漏洞,可允许攻击者访问用户在第三方服务中的敏感信息。该漏洞(CVE-2019-12592)属于插件中的编码逻辑错误,可绕过浏览器的同源策略,使得攻击者访问第三方服务的敏感用户信息,包括身份验证信息、财务信息、社交媒体聊天信息、电子邮件信息等。
漏洞验证
POC:https://guard.io/blog/evernote-universal-xss-vulnerability。
修复建议
目前厂商已发布新版本以修复漏洞,建议用户更新至7.11.1及更高版本。
参考链接
https://www.bleepingcomputer.com/news/security/critical-flaw-in-evernote-add-on-exposed-sensitive-data-of-millions/
京公网安备11010802024551号