首頁 > 安全研究 > 安全通報 > 安全通告

Evernote Chrome插件XSS漏洞安全通告,威脅安全通告,安全研究

發布時間 2019-06-14

漏洞編號和級別


CVE編號:CVE-2019-12592,危險級別:高危,CVSS分值:官方未評定


影響版本


受影響的版本


適用于Evernote的Chrome插件(Evernote Web Clipper) < 7.11.1。


漏洞概述


Evernote Web Clipper是一款瀏覽器插件,它是有印象筆記Evernote推出的一款剪藏插件,可以一鍵收藏各類網頁圖文,并永久保存進Evernote。同時,還能選擇保存網頁正文、隱藏廣告、整個頁面、網頁截屏等,讓你根據不同需求,選擇保存內容。


Evernote的Chrome插件(Evernote Web Clipper)中存在一個嚴重的XSS漏洞,可允許攻擊者訪問用戶在第三方服務中的敏感信息。該漏洞(CVE-2019-12592)屬于插件中的編碼邏輯錯誤,可繞過瀏覽器的同源策略,使得攻擊者訪問第三方服務的敏感用戶信息,包括身份驗證信息、財務信息、社交媒體聊天信息、電子郵件信息等。


漏洞驗證


POC:https://guard.io/blog/evernote-universal-xss-vulnerability。


修復建議


目前廠商已發布新版本以修復漏洞,建議用戶更新至7.11.1及更高版本。


參考鏈接


https://www.bleepingcomputer.com/news/security/critical-flaw-in-evernote-add-on-exposed-sensitive-data-of-millions/ 


上一篇 下一篇