Evernote Chrome插件XSS误差清静通告,威胁清静通告,清静研究

宣布时间 2019-06-14

误差编号和级别


CVE编号:CVE-2019-12592,危险级别:高危,CVSS分值:官方未评定


影响版本


受影响的版本


适用于Evernote的Chrome插件(Evernote Web Clipper) < 7.11.1。


误差概述


Evernote Web Clipper是一款浏览器插件,它是有印象条记Evernote推出的一款剪藏插件,可以一键收藏种种网页图文,并永世生涯进Evernote。同时,还能选择生涯网页正文、隐藏广告、整个页面、网页截屏等,让你凭证差别需求,选择生涯内容。


Evernote的Chrome插件(Evernote Web Clipper)中保存一个严重的XSS误差,可允许攻击者会见用户在第三方服务中的敏感信息。该误差(CVE-2019-12592)属于插件中的编码逻辑过失,可绕过浏览器的同源战略,使得攻击者会见第三方服务的敏感用户信息,包括身份验证信息、财务信息、社交媒体谈天信息、电子邮件信息等。


误差验证


POC:https://guard.io/blog/evernote-universal-xss-vulnerability。


修复建议


现在厂商已宣布新版本以修复误差,建议用户更新至7.11.1及更高版本。


参考链接


https://www.bleepingcomputer.com/news/security/critical-flaw-in-evernote-add-on-exposed-sensitive-data-of-millions/