一、 漏洞 CVE-2016-5124 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Open-Xchange OX App Suite 7.8.1-rev14之前发现了一个问题。通过拖拽方式将来自外部来源的图像添加到HTML编辑器中,可能会导致用户活动上下文中的脚本代码执行。要利用此漏洞,用户需要被 trick 到使用一个 specially crafted 网站的图像并将其添加到OX App Suite中的HTML编辑器区域,例如E-Mail Compose或OX Text,例如发送邮件或删除数据等。这种特定攻击绕过了典型的XSS过滤器和检测机制,因为代码不是从外部服务加载而是 local inject。恶意脚本代码可以在用户上下文中执行。这可能导致会话劫持或通过Web界面触发不必要的操作(发送邮件,删除数据等)。要利用此漏洞,攻击者需要说服用户采取特定的步骤(社会工程学)。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in Open-Xchange OX App Suite before 7.8.1-rev14. Adding images from external sources to HTML editors by drag&drop can potentially lead to script code execution in the context of the active user. To exploit this, a user needs to be tricked to use an image from a specially crafted website and add it to HTML editor areas of OX App Suite, for example E-Mail Compose or OX Text. This specific attack circumvents typical XSS filters and detection mechanisms since the code is not loaded from an external service but injected locally. Malicious script code can be executed within a user's context. This can lead to session hijacking or triggering unwanted actions via the web interface (sending mail, deleting data etc.). To exploit this vulnerability, a attacker needs to convince a user to follow specific steps (social-engineering).
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Open-Xchange OX App Suite 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Open-Xchange OX App Suite是美国Open-Xchange公司的一套Web云桌面环境。该环境允许用户更直观的管理电子邮件、任务和文件等。 Open-Xchange OX App Suite 7.8.1-rev14之前的版本中存在安全漏洞。攻击者可诱使用户执行特定的操作利用该漏洞在用户上下文中执行恶意脚本代码,劫持会话并执行未授权的操作。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2016-5124 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2016-5124 的情报信息