Evernote7.9本地文件路径遍历漏洞

2019年4月18日07:46:57 发表评论

Evernote7.9本地文件路径遍历漏洞

Evernote7.9中存在本地文件路径遍历漏洞,允许攻击者执行任意程序。

漏洞解释:

攻击者可以在代码中设计URI来使用file:/// 命令作为参数读取遍历任何目录,例如:../../../../something.app来执行此攻击。

由于Evernote还具有共享笔记功能,因此在这种情况下,攻击者可以利用此漏洞向受害者发送代有代码执行的笔记(.enex)执行进一步的攻击。

漏洞补丁:

此漏洞补丁在Evernote 7.10 Beta 1和7.9.1 GA for macOS中已经修复,可进入官方更新下载。

Evernote传送链接:https://evernote.com/security/updates

 

发表评论

后发表评论