印象笔记 Windows 客户端 6.15 本地文件读取和远程命令执行漏洞(CVE-2018-18524)

实在难得的例子，一个因为 XSS 导致本地文件读取和 RCE 的例子。

引入 NodeJS 环境到本地，对于输入过滤不严，产生的 XSS 极其容易导致其他的严重漏洞。一旦结合 NodeJS 的脚本执行能力，那基本就是一个杀人于无形的巨大漏洞。

由于这样的 NodeJS 客户端的漏洞，极其隐蔽，很多时候感觉都是网络战武器级别的实现。