Vulnerabilidad en Open-Xchange Server 6 / OX AppSuite (CVE-2016-2840)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

15/12/2016

Última modificación:

12/04/2025

Descripción

Ha sido descubierto un problema en Open-Xchange Server 6 / OX AppSuite en versiones anteriores a 7.8.0-rev26. El parámetro "session" para peticiones de descarga de archivos puede emplearse para inyectar código script que se refleja a través de la posterior página de estado. El código script malicioso puede ser ejecutado dentro de un contexto de dominio de confianza. Mientras que ningún dato específico de OX App Suite puede ser manipulado, la vulnerabilidad puede ser explotada sin ser autenticado y por tanto ser utilizada para ataques de ingeniería social, robando cookies o redirigiendo desde hosts confiables a maliciosos.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.10

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno