CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

12/11/2018

XSS persistente en Evernote

Descubierta nueva vulnerabilidad XSS en la versión de escritorio de Windows.

Riesgo: Medio

El fallo detectado permite ejecutar programas de forma remota, en la máquina de la víctima, combinándolo con otros ataques como Read Local File y Remote Command Execute.

Si un usuario añade una imagen a alguna nota y cambia el nombre de la imagen por código JavaScript, se ejecuta. Como al guardar la nota queda almacenado el código JavaScript inyectado, nos encontramos con un XSS persistente.

Sistemas Afectados:

Versiones anteriores a la 6.16.4 en Windows.

Referencias:

CVE-2018-18524

Solución:

Actualizar con el último parche, lanzado a principios de este mes, con versión 6.16.4.

Notas:

Más información.

Fuente: Hispasec - Una al día

CSIRT-CV