首页 > 安全钻研 > 安全传递 > 安全公告

Evernote Chrome插件XSS缝隙安全公告,威胁安全公告,安全钻研

颁布功夫 2019-06-14

缝隙编号和级别

CVE编号：CVE-2019-12592，危险级别：高危，CVSS分值：官方未评定

影响版本

受影响的版本

合用于Evernote的Chrome插件（Evernote Web Clipper） < 7.11.1。

缝隙概述

Evernote Web Clipper是一款浏览器插件，它是有印象笔记Evernote推出的一款剪藏插件，能够一键珍藏各类网页图文，并永远保留进Evernote。同时，还能选择保留网页正文、暗藏告白、整个页面、网页截屏等，让你凭据分歧需要，选择保留内容。

Evernote的Chrome插件（Evernote Web Clipper）中存在一个严沉的XSS缝隙，可允许攻击者接见用户在第三方服务中的敏感信息。该缝隙（CVE-2019-12592）属于插件中的编码逻辑谬误，可绕过浏览器的同源战术，使得攻击者接见第三方服务的敏感用户信息，蕴含身份验证信息、财政信息、社交媒体谈天信息、电子邮件信息等。

缝隙验证

POC：https://guard.io/blog/evernote-universal-xss-vulnerability。

建复建议

目前厂商已颁布新版本以建复缝隙，建议用户更新至7.11.1及更高版本。

参考链接

https://www.bleepingcomputer.com/news/security/critical-flaw-in-evernote-add-on-exposed-sensitive-data-of-millions/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Evernote Chrome插件XSS缝隙安全公告,威胁安全公告,安全钻研

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线