Vulnerabilidad en Open-Xchange OX Guard (CVE-2016-6853)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
15/12/2016
Última modificación:
12/04/2025
Descripción
Ha sido descubierto un problema en Open-Xchange OX Guard en versiones anteriores a 2.4.2-rev5. Un código de script y las referencias a sitios web externos pueden ser inyectados a los nombres de las claves públicas de PGP. Al solicitar esa clave más adelante usando una URL específica, ese código script podría ser ejecutado. En caso de inyectar sitios web externos, los usuarios pueden ser llevados a un esquema de phishing. El código script malicioso puede ser ejecutado en un contexto de usuario. Esto puede conducir al secuestro de sesión o activar acciones no deseadas a través de la interfaz web (envío de correo, eliminación de datos, etc.).
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:open-xchange:ox_guard:*:rev4:*:*:*:*:*:* | 2.4.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/138701/Open-Xchange-Guard-2.4.2-Cross-Site-Scripting.html
- http://www.securityfocus.com/archive/1/539395/100/0/threaded
- http://www.securityfocus.com/bid/92920
- https://www.exploit-db.com/exploits/40377/
- http://packetstormsecurity.com/files/138701/Open-Xchange-Guard-2.4.2-Cross-Site-Scripting.html
- http://www.securityfocus.com/archive/1/539395/100/0/threaded
- http://www.securityfocus.com/bid/92920
- https://www.exploit-db.com/exploits/40377/