Vulnerabilidad en Open-Xchange (CVE-2024-23187)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
06/05/2024
Última modificación:
05/03/2025
Descripción
Se podría abusar de la incrustación de recursos basada en Content-ID en correos electrónicos para activar código de script del lado del cliente cuando se utiliza la opción "mostrar más". Los atacantes podrían realizar solicitudes API maliciosas o extraer información de la cuenta del usuario. Explotar la vulnerabilidad requiere la interacción del usuario. Implemente las actualizaciones y lanzamientos de parches proporcionados. El reemplazo de CID se ha reforzado para omitir identificadores no válidos. No se conocen exploits disponibles públicamente.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:open-xchange:ox_app_suite:*:*:*:*:*:*:*:* | 8.22 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://seclists.org/fulldisclosure/2024/May/3
- https://documentation.open-xchange.com/appsuite/releases/8.22/
- https://documentation.open-xchange.com/appsuite/security/advisories/csaf/2024/oxas-adv-2024-0002.json
- http://seclists.org/fulldisclosure/2024/May/3
- https://documentation.open-xchange.com/appsuite/releases/8.22/
- https://documentation.open-xchange.com/appsuite/security/advisories/csaf/2024/oxas-adv-2024-0002.json