漏洞详情

披露状态:

2014-10-28: 细节已通知厂商并且等待厂商处理中
2014-10-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某营销通讯软件内部存储XSS,可获取其它成员cookie,并冒充身份发内容

详细说明:

ec.qq.com EC营销即时通,下载后在空间里面发贴,插入XSS,没有过滤任何标签,可打老板COOKIE,并通过老板身份给大家通知涨工资

漏洞证明:

1.png

2.png

3.png

4.png

修复方案:

无影响,忽略

标签: none

评论已关闭