CH azonosító
CH-13410Angol cím
Open-Xchange vulnerabilityFelfedezés dátuma
2016.07.12.Súlyosság
MagasÉrintett rendszerek
Open-XchangeÉrintett verziók
Az alábbi verziók már nem tartalmazzák a sebezhetőséget:
7.6.2-rev55
7.6.3-rev13
7.8.0-rev32
7.8.1-rev14
Összefoglaló
Az Open-Xchange magas kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó tetszőleges kódot futtathat és adatokat szerezhet meg. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
Az Open-Xchange App Suite egy fontos frissítéssel gazdadogott. Ennek telepítésével olyan sérülékenységet lehet megszüntetni, amely kódfuttatásra, illetve adatlopásra is lehetőséget adhat. A biztonsági hiba a bemeneti adatok esetenkénti nem megfelelő ellenőrzésére vezethető vissza.
A sebezhetőség HTML tartalmakkal válhat kihasználhatóvá, ami akár scriptek jogosulatlan futtatását is eredményezheti. Emellett a hiba speciálisan szerkesztett képekkel, linkekkel, OX Documents táblázatokkal és Flash tartalmakkal is kihasználhatóvá válhat.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
execute arbitrary code
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: www.open-xchange.com
CVE-2016-5124 - NVD CVE-2016-5124