Zoho アカウントの乗っ取り: ワンクリックで Zoho アカウントを完全に制御できる仕組み from infosecwriteups.com

security summary

2024.04.29

Zoho Account Takeover: How a Single Click Can Lead to Full Control on your Zoho account - infosecwriteups.com

「Zoho Mail」スクリプトは、POSTMESSAGEに対して脆弱なXSSスクリプトの一部であり、updateServerDomain’の値として?SERVERDOMAIN’を返します。
次に、スクリプトは psload.loadScript を呼び出してスクリプトをロードし、結果を返します。
位置ハッシュに変更があるたびに、アカウント ID を含むメッセージが親に送信されます。
これが脆弱性が発見された理由です。