Vulnerabilidad en Open-Xchange OX App Suite (CVE-2016-4027)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
15/12/2016
Última modificación:
12/04/2025
Descripción
Ha sido descubierto un problema en Open-Xchange OX App Suite en versiones anteriores a 7.8.1-rev10. El frontend App Suite ofrece controlar si un usuario quiere almacenar cookies que exceden la duración de sesión. Esta funcionalidad es útil cuando se inicia sesión desde clientes con privilegios reducidos o entornos compartidos. Sin embargo la configuración fue reconocida incorrectamente y las cookies fueron almacenadas independientemente de estos ajustes cuando el inicio de sesión fue realizado usando un método de inicio de sesión no interactivo. En caso de que el ajuste fuera forzado por la configuración de middleware o el usuario pasó por la página de inicio de sesión interactiva, el flujo de trabajo era correcto. Las cookies con información de autenticación pueden estar disponibles para otros usuarios en entornos compartidos. En caso de que el usuario no se haya desconectado correctamente de la sesión, los terceros con acceso al mismo cliente pueden acceder a la cuenta de un usuario.
Impacto
Puntuación base 3.x
3.50
Gravedad 3.x
BAJA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:open-xchange:open-xchange_appsuite:*:rev9:*:*:*:*:*:* | 7.8.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/137599/Open-Xchange-App-Suite-7.8.1-Information-Disclosure.html
- http://www.securityfocus.com/archive/1/538732/100/0/threaded
- http://www.securitytracker.com/id/1036157
- http://packetstormsecurity.com/files/137599/Open-Xchange-App-Suite-7.8.1-Information-Disclosure.html
- http://www.securityfocus.com/archive/1/538732/100/0/threaded
- http://www.securitytracker.com/id/1036157