在全球间谍活动中，政府网络邮件遭 XSS 漏洞攻击

• Roundcube - CVE-2020-35730：黑客于 2023 年利用的一个存储型 XSS 漏洞，将 JavaScript 直接嵌入电子邮件正文中。当受害者在基于浏览器的 Web 邮件会话中打开电子邮件时，该脚本会在其上下文中执行，从而窃取凭证和数据。
• Roundcube - CVE-2023-43770：Roundcube 处理超链接文本时存在 XSS 漏洞，该漏洞于 2024 年初被利用。不当的清理导致攻击者将 <script> 标签注入电子邮件内容，并在用户查看时执行。
• MDaemon - CVE-2024-11182：MDaemon 电子邮件服务器 HTML 解析器中的一个零日 XSS 漏洞，于 2024 年末被黑客利用。攻击者通过构造带有 noembed 标签的畸形 title 属性，可以渲染隐藏的 <img onerror> 负载并执行 JavaScript 代码。这会导致凭证窃取、双因素身份验证 (2FA) 绕过以及通过应用密码实现持久访问。
• Horde – 未知 XSS：APT28 试图通过在 <img onerror> 处理程序中放置脚本来利用 Horde 中一个旧的 XSS 漏洞。然而，此次尝试失败了，可能是由于现代 Horde 版本中的内置过滤功能。具体漏洞尚未确认，但目前似乎已得到修补。
• Zimbra - CVE-2024-27443：Zimbra 日历邀请处理中存在一个 XSS 漏洞，此前该漏洞未被标记为主动利用漏洞。X-Zimbra-Calendar-Intended-For 标头中未经过滤的输入允许 JavaScript 代码注入日历界面。APT28 嵌入了一个隐藏脚本，该脚本会在用户查看邀请时解码并执行 base64 JavaScript 代码。

原文始发于微信公众号（犀牛安全）：在全球间谍活动中，政府网络邮件遭 XSS 漏洞攻击