一名安全研究人员在雅虎邮箱网站移动版本上发现了一个易于攻击的存储性跨站点脚本漏洞。
攻击者只要编造一份包含XSS有效负载的邮件并将其发送至目标用户就能利用这个漏洞。一旦受害者从站点的移动版本(mg.mail.yahoo.com)打开雅虎邮箱账户这个有效负载就会被执行。不过这个漏洞并不影响邮箱的移动app。研究人员指出,即使受害者没有打开攻击者发来的邮件,恶意代码也会被执行,从雅虎邮箱网站移动版本上打开收件箱就足以受到感染。
研究人员指出,攻击者能够利用这个漏洞在受害者浏览器中执行JS。攻击者能够窃取未经保护的cookies,将受害者重定向至恶意域名,或者让他们下载恶意文件,甚至是导向钓鱼页面让他们输入雅虎凭证。
研究人员将该漏洞于11月11日通过HackerOne平台报告给雅虎,该漏洞于11月21日修复,这名研究人员因此获得600美元的漏洞奖励。