Mail.ru: [my.mail.ru] HTML injection в письмах от myadmin@corp.mail.ru

2016-05-24T12:49:47
ID H1:140705
Type hackerone
Reporter bobrov
Modified 2016-10-03T11:55:46

Description

1) Создаем группу и приглашаем в нее пользователей https://my.mail.ru/my/editcommunity

2) Меняем название группы на </a><a href="//blackfan.ru"><img src="//blackfan.ru/fk"></a><!--

3) Устанавливаем пользователям права модератора или смотрителя https://my.mail.ru/community/blahblahgroup/communityaccess

4) Откатываем права и меняем название назад

В результате пользователи получают уведомление "Вас назначили модератором" от myadmin@corp.mail.ru. В теле письма содержится html инъекция через название группы:

Вы назначены модератором группы "[html_inj]"

Пример письма в приложении.