Vulnerabilidad en Open-Xchange OX App Suite (CVE-2016-5740)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
15/12/2016
Última modificación:
12/04/2025
Descripción
Ha sido descubierto un problema en Open-Xchange OX App Suite en versiones anteriores a 7.8.2-rev5. Un código JavaScript puede ser usado como parte de adjuntos ical dentro de E-Mails de programación. Este contenido, por ejemplo la ubicación de una reunión, se presentará al usuario en la aplicación de correo electrónico, dependiendo del flujo de trabajo de la invitación. Este código se ejecuta dentro del contexto de la sesión actual del usuario. El código script malicioso puede ser ejecutado en un contexto de usuario. Esto puede conducir al secuestro de sesión o activar acciones no deseadas a través de la interfaz web (envío de correo, eliminación de datos, etc.).
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:open-xchange:open-xchange_appsuite:*:rev4:*:*:*:*:*:* | 7.8.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/138700/Open-Xchange-App-Suite-7.8.2-Cross-Site-Scripting.html
- http://www.securityfocus.com/archive/1/539394/100/0/threaded
- http://www.securityfocus.com/bid/92922
- https://www.exploit-db.com/exploits/40378/
- http://packetstormsecurity.com/files/138700/Open-Xchange-App-Suite-7.8.2-Cross-Site-Scripting.html
- http://www.securityfocus.com/archive/1/539394/100/0/threaded
- http://www.securityfocus.com/bid/92922
- https://www.exploit-db.com/exploits/40378/