Zoho アカウントの乗っ取り: ワンクリックで Zoho アカウントを完全に制御できる仕組み from infosecwriteups.com

security summary

2025.02.18

Zoho Account Takeover: How a Single Click Can Lead to Full Control over your Zoho account - infosecwriteups.com

電子メールのハッシュ値を親サイトから抽出する「xsh」スクリプトを使用して、電子メールを読み込むことができます。
その後、スクリプトはパスワードを使用せずにメッセージ本文の新しい値と古い値を取得します。
また、script-loader.mesageListener.json で前に設定した変数に対応する属性 scriptname> (キー名) もチェックします。
これにより、電子メール経由でアカウントにアクセスできるようになります。