XSS persistente en Evernote

12/11/2018
Descubierta nueva vulnerabilidad XSS en la versión de escritorio de Windows.

Riesgo: Medio Medio
Sistemas afectados:

Versiones anteriores a la 6.16.4 en Windows.

Descripción:

El fallo detectado permite ejecutar programas de forma remota, en la máquina de la víctima, combinándolo con otros ataques como Read Local File y Remote Command Execute.

Si un usuario añade una imagen a alguna nota y cambia el nombre de la imagen por código JavaScript, se ejecuta. Como al guardar la nota queda almacenado el código JavaScript inyectado, nos encontramos con un XSS persistente.

Referencias (CVE):
Solución:

Actualizar con el último parche, lanzado a principios de este mes, con versión 6.16.4.