CH azonosító
CH-12188Angol cím
Open-Xchange XSS vulnerabilityFelfedezés dátuma
2015.04.28.Súlyosság
KözepesÖsszefoglaló
Az Open-Xchange két sérülékenységét jelentették, amelyet XSS-alapú támadásokra, illetve adatlopásra lehet kihasználni.
Leírás
A sérülékenységeket az okozza, hogy az alkalmazás hibás összetevője esetenként nem ellenőrzi megfelelően a HTML tartalmakat azok megjelenítése előtt. Ennek következtében a támadó tetszőleges HTML és JavaScript kódot futtathat le, és akár authentikációs cookie-khoz is hozzáférést szerezhet.
A sebezhetőséget a 7.6.1-es verzió biztosan tartalmazza, de elképzelhető, hogy korábbi kiadások is érintettek.
Megoldás
A fejlesztők által kiadott frissítések telepítése (7.4.2-rev43, 7.6.0-rev38, 7.6.1-rev21).
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.securityfocus.com
Egyéb referencia: www.open-xchange.com
CVE-2015-1588 - NVD CVE-2015-1588