漏洞信息(CVE-2016-4045)

一、漏洞 CVE-2016-4045 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

在Open-Xchange OX App Suite 7.8.1-rev11之前发现了一个问题。可以使用URL表示法将脚本代码嵌入到RSS feed中。如果用户在使用App Suite的RSS阅读器时点击相应的链接，则代码将在用户上下文中执行。恶意脚本代码可以在用户的上下文中执行。这可能会导致会话劫持或通过Web界面触发不必要的动作(发送邮件，删除数据等)。攻击者需要处于同一上下文中，才能使此攻击有效。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

An issue was discovered in Open-Xchange OX App Suite before 7.8.1-rev11. Script code can be embedded to RSS feeds using a URL notation. In case a user clicks the corresponding link at the RSS reader of App Suite, code gets executed at the context of the user. Malicious script code can be executed within a user's context. This can lead to session hijacking or triggering unwanted actions via the web interface (sending mail, deleting data etc.). The attacker needs to reside within the same context to make this attack work.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Open-Xchange OX App Suite 跨站脚本漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Open-Xchange OX App Suite是美国Open-Xchange公司的一套Web云桌面环境。该环境允许用户更直观的管理电子邮件、任务和文件等。 Open-Xchange OX App Suite 7.8.1-rev11之前的版本中存在安全漏洞。攻击者可借助Web界面利用该漏洞在用户上下文中执行恶意脚本代码，劫持会话并执行未授权的操作。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

跨站脚本

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2016-4045 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2016-4045 的情报信息

http://www.securitytracker.com/id/1036157 vdb-entry x_refsource_SECTRACK
http://www.securityfocus.com/archive/1/538732/100/0/threaded mailing-list x_refsource_BUGTRAQ
https://nvd.nist.gov/vuln/detail/CVE-2016-4045

一、 漏洞 CVE-2016-4045 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2016-4045 的公开POC

三、漏洞 CVE-2016-4045 的情报信息

一、漏洞 CVE-2016-4045 基础信息