漏洞标题
N/A
漏洞描述信息
在Open-Xchange OX App Suite 7.8.2-rev8之前,发现了一个问题。在基于我们的Mail或Drive app打开SVG文件时,保持脚本代码在文件中。对于"a"标签,这可能包括用base64编码的"数据"引用的链接目标。恶意脚本代码可以在用户的上下文中执行。这可能导致会话劫持或通过Web界面(发送邮件,删除数据等)触发不必要的操作。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in Open-Xchange OX App Suite before 7.8.2-rev8. Script code within SVG files is maintained when opening such files "in browser" based on our Mail or Drive app. In case of "a" tags, this may include link targets with base64 encoded "data" references. Malicious script code can be executed within a user's context. This can lead to session hijacking or triggering unwanted actions via the web interface (sending mail, deleting data etc.).
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Open-Xchange OX App Suite 安全漏洞
漏洞描述信息
Open-Xchange OX App Suite是美国Open-Xchange公司的一套Web云桌面环境。该环境允许用户更直观的管理电子邮件、任务和文件等。 Open-Xchange OX App Suite 7.8.2-rev8之前的版本中存在安全漏洞。攻击者可利用该漏洞在用户上下文中执行恶意脚本代码,劫持会话并执行未授权的操作。
CVSS信息
N/A
漏洞类别
跨站脚本