# Xmind 2020 XSS漏洞导致命令执行
XMind是一种功能齐全的思维导图和头脑风暴工具,旨在产生想法,激发创造力,并在工作和生活中带来效率。数以百万计的用户们喜欢它。Xmind 2020存在XSS漏洞,攻击者可以借助该漏洞实现命令执行,在实际环境中借助钓鱼攻击可能造成更严重的危害。
该软件允许以文件形式或自定义标题的形式存储Payload,一旦输入恶意代码,当受害者移动鼠标或单击时,Payload将被执行。
poc见:https://sploitus.com/exploit?id=EDB-ID:49827