支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2021-47768 基础信息
漏洞信息
                                        # ImportExportTools NG 10.0.4 HTML注入漏洞

N/A
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
ImportExportTools NG 10.0.4 - HTML Injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
ImportExportTools NG 10.0.4 contains a persistent HTML injection vulnerability in the email export module that allows remote attackers to inject malicious HTML payloads. Attackers can send emails with crafted HTML in the subject that execute during HTML export, potentially compromising user data or session credentials.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Import Export Tools NG 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Import Export Tools NG是thundernest开源的一个导入与导出工具。 Import Export Tools NG 10.0.4版本存在安全漏洞,该漏洞源于电子邮件导出模块存在持久性HTML注入,可能导致远程攻击者注入恶意HTML有效载荷。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-47768 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2021-47768 的情报信息

  • 标题: ImportExportTools NG 10.0.4 - HTML Injection - Multiple webapps Exploit -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            ## 关键信息总结

### 漏洞详情
- **漏洞名称**: ImportExportTools NG 10.0.4 - HTML Injection
- **EDB-ID**: 50496
- **CVE**: N/A
- **作者**: Vulnerability Lab
- **类型**: WebApps
- **平台**: Multiple
- **日期**: 2021-11-05
- **受影响的App**: ImportExportTools NG 10.0.4

### 漏洞描述
- **漏洞类型**: Script Code Injection
- **风险等级**: Medium
- **摘要**: 该漏洞允许远程攻击者注入HTML载荷,以利用Mozilla Thunderbird中的ImportExportTools NG 10.0.4。

### 利用方法
- **利用技术**: Remote
- **用户交互**: Low User Interaction

### 复现步骤
1. 安装Mozilla Thunderbird。
2. 安装ImportExportTools NG 10.0.4。
3. 向目标邮箱发送包含HTML测试载荷的主题邮件。
4. 目标用户以HTML格式导出邮箱内容,执行载荷。

### 修复建议
- 对在主题中可见的输出进行编码和安全处理,防止从任何列出的值执行操作。
- 通过特殊字符限制执行,以防止进一步的攻击。
    ImportExportTools NG 10.0.4 - HTML Injection - Multiple webapps Exploit

  • 标题: Just a moment... -- 🔗来源链接

    标签:product

    神龙速读:
                                            # 关键信息

- **Domain:** addons.thunderbird.net
- **Message:** Verifying you are human. This may take a few seconds.
- **Security Notice:** addons.thunderbird.net needs to review the security of your connection before proceeding.
- **Ray ID:** 9c0aa0d01d0790cc
- **Performance & Security by:** Cloudflare
    Just a moment...
  • https://www.vulnerability-lab.com/get_content.php?id=2308exploittechnical-description

  • 标题: GitHub - thunderbird/import-export-tools-ng: Import Export Tools that supports Thunderbird v68-v128 -- 🔗来源链接

    标签:product

    神龙速读:
                                            ## 关键信息

### 漏洞相关

- **软件名称**: ImportExportTools NG
- **支持的Thunderbird版本**: v68-v128
- **最新版本**: v14.1.15
- **发布时间**: 2023年11月16日

### 版本更新记录(与漏洞相关)

#### 版本 14.1.14 (2025年9月16日)
- 固定一个在关闭时防止自动备份的竞态条件。

#### 版本 14.1.13 (2025年9月8日)
- 增加了对v140-v144的支持。
- 转换并移除最后的属性文件。

#### 早期版本 (如 14.0.1, 14.0.2)
- 各版本均提到修复了多个漏洞和问题,具体包括:
  - #140 处理对未选中文件夹的右键点击
  - #149 EML 导入修复
  - #154 备份在使用文件/退出时不会运行
  - #157、#159 备份失败
  - #173 处理没有选择的文件夹
  - #174 发送者_email和收件人_email令牌丢失
  - #175 支持文件名中的逗号和单引号

### 其他信息
- **功能**: 提供导入和导出功能,支持消息、文件夹和配置文件操作
- **安装方式**: 支持在线和离线安装方式
- **使用说明**: 提供简要使用说明和XPI插件包构建说明
    GitHub - thunderbird/import-export-tools-ng: Import Export Tools that supports Thunderbird v68-v128
  • https://nvd.nist.gov/vuln/detail/CVE-2021-47768
四、漏洞 CVE-2021-47768 的评论

暂无评论

发表评论