Xmind 2020 XSS漏洞导致命令执行

XMind是一种功能齐全的思维导图和头脑风暴工具，旨在产生想法，激发创造力，并在工作和生活中带来效率。数以百万计的用户们喜欢它。Xmind 2020存在XSS漏洞，攻击者可以借助该漏洞实现命令执行，在实际环境中借助钓鱼攻击可能造成更严重的危害。

该软件允许以文件形式或自定义标题的形式存储Payload，一旦输入恶意代码，当受害者移动鼠标或单击时，Payload将被执行。

poc见：https://sploitus.com/exploit?id=EDB-ID:49827