印象笔记存在 XSS 缺陷，可导致黑客窃取文件执行命令

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

Windows版本的印象笔记应用程序中存在一个严重的跨站脚本(XSS)漏洞，可被用于窃取文件并执行任意命令。

网名为“Sebao”的研究员在印象笔记app中发现一个存储型XSS缺陷。他发现当在笔记中添加一张图片并更名后，添加的是JavaScript代码而非名称。如果笔记和另外一名用户共享，当收件人点击该图片时就会执行代码。

印象笔记在9月份发布版本6.16并修复了这个安全漏洞。然而，Knownsec 404团队的TongQing Zhu发现任意代码仍然可被注入所附加图片的名称中。

然而，跟之前的案例不同，该代码会从远程服务器加载一个Node.js文件。该脚本经由影响笔记在演示模式下使用的应用程序运行时NodeWebKit执行。

要让攻击起作用，攻击者需要说服目标用户在演示模式下打开一份印象笔记。如果利用代码得到成功执行，那么攻击者就能够窃取任意文件并执行命令。

TongQing Zhu展示了黑客如何利用该漏洞读取Windows文件并在目标系统上执行Calculaor应用。

10月中旬，印象笔记发布Windows 6.16.1 beta版本，修复了漏洞(CVE-2018-18524)。本月初，印象笔记发布Evernote 6.16.4，向所有用户推出补丁。