烽火狼烟丨Xmind 2020 XSS导致命令执行漏洞风险提示 – 作者:WebRAY

漏洞概述

2021年05月10日，WebRAY烽火台实验室监测到Xmind 2020存在XSS漏洞，该软件允许以文件形式或自定义标题的形式进行数据存储，攻击者可构造恶意Xmind文件以诱导受害者点击查看的方式实现命令执行。当前Xmind 2020官方版本依旧存在该漏洞，WebRAY烽火台实验室建议Xmind用户及时关注更新信息并警惕外来的Xmind文件。

Xmind便是一款功能强大且方便快捷的思维导图办公软件，思维导图作为一种新颖的思考模式，利用图形和线条将问题通过思维发散的模式形象具体的表现出来，这种方法简单实用，没有较高的使用门槛或者专门的学术限制，即使是小学生也可以使用。

WebRAY烽火台实验室将持续关注该漏洞进展，并第一时间为您更新该漏洞信息。

漏洞复现

漏洞等级

WebRAY烽火台实验室风险评级：高危

修复建议

• 目前官方暂未对此漏洞进行修复；

• 警惕外来的XMind文件，谨慎打开大纲模式。

来源：freebuf.com 2021-05-11 14:38:12 by: WebRAY