漏洞标题
N/A
漏洞描述信息
在Open-Xchange OX AppSuite 7.8.0-rev27之前发现了一个问题。在门户中的 tile 的 aria-label 参数可用于注入脚本代码。这些标签使用门户应用程序显示的文件中的名称(例如一个图像)。在文件名中使用脚本代码会导致脚本执行。恶意脚本代码可以在用户上下文中执行。这可能导致会话劫持或通过Web界面触发不必要的操作(发送邮件,删除数据等)。然而,在共享文件的情况下,内部攻击者可能会修改已嵌入的文件,使其携带恶意文件名。此外,这个漏洞可以使用来持续执行由临时脚本执行漏洞注入的代码。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in Open-Xchange OX AppSuite before 7.8.0-rev27. The aria-label parameter of tiles at the Portal can be used to inject script code. Those labels use the name of the file (e.g. an image) which gets displayed at the portal application. Using script code at the file name leads to script execution. Malicious script code can be executed within a user's context. This can lead to session hijacking or triggering unwanted actions via the web interface (sending mail, deleting data etc.). Users actively need to add a file to the portal to enable this attack. In case of shared files however, a internal attacker may modify a previously embedded file to carry a malicious file name. Furthermore this vulnerability can be used to persistently execute code that got injected by a temporary script execution vulnerability.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Open-Xchange OX App Suite 跨站脚本漏洞
漏洞描述信息
Open-Xchange OX App Suite是美国Open-Xchange公司的一套Web云桌面环境。该环境允许用户更直观的管理电子邮件、任务和文件等。 Open-Xchange OX App Suite 7.8.0-rev27之前的版本中存在安全漏洞。攻击者可借助特制的文件利用该漏洞在用户上下文中执行恶意脚本代码,劫持会话或执行未授权的操作。
CVSS信息
N/A
漏洞类别
跨站脚本