TurboMail正文存储型漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: 对富文本格式的正文过滤不完善,导致正文存在xss ### 详细说明: 本地搭建TurboMail环境,并创建用户attacker@test.com和victim@test.com,然后利用账号attacker@test.com给victim@test.com其发送邮件,邮件正文为 <img/src=1 onerror=alert(1)//">,注意正文必须为html格式,不是纯文本格式。用户打开邮件即可触发漏洞。 ### 漏洞证明: [<img src="https://images.seebug.org/upload/201408/281118345bdebef9813306fc6a0ca14f7a0cf814.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/281118345bdebef9813306fc6a0ca14f7a0cf814.jpg)

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息