漏洞标题
N/A
漏洞描述信息
在Open-Xchange OX App Suite 7.8.2-rev8之前发现了一个问题。代码可以注入到联系人名称中。在将这些联系人添加到组时,代码将在使用自动补全的上下文中执行。在大多数情况下,这是一个拥有更高权限的用户。恶意代码可以在用户的上下文中执行。这可能导致会话劫持或通过Web界面(发送邮件,删除数据等)触发不必要的操作(发送邮件,删除数据等)。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in Open-Xchange OX App Suite before 7.8.2-rev8. Script code can be injected to contact names. When adding those contacts to a group, the script code gets executed in the context of the user which creates or changes the group by using autocomplete. In most cases this is a user with elevated permissions. Malicious script code can be executed within a user's context. This can lead to session hijacking or triggering unwanted actions via the web interface (sending mail, deleting data etc.).
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Open-Xchange OX App Suite 安全漏洞
漏洞描述信息
Open-Xchange OX App Suite是美国Open-Xchange公司的一套Web云桌面环境。该环境允许用户更直观的管理电子邮件、任务和文件等。 Open-Xchange OX App Suite 7.8.2-rev8之前的版本中存在安全漏洞。攻击者可利用该漏洞在用户上下文中执行恶意脚本代码,劫持会话并执行未授权的操作。
CVSS信息
N/A
漏洞类别
跨站脚本