漏洞标题
通过 GROUPOFFICE 中恶意文件名,存储了跨站脚本漏洞
漏洞描述信息
Group-Office是一个企业级CRM和团队协作工具。受影响的版本都存在一个漏洞,该漏洞存在于Group Office的文件上传机制中。它允许攻击者通过将恶意脚本代码嵌入到文件名中来执行任意JavaScript代码。例如,使用“><img src=x onerror=prompt('XSS')>.jpg”这样的文件名会触发漏洞。当文件上传时,文件名中的JavaScript代码将被执行。此问题已在版本6.8.29中得到解决。建议所有用户进行升级。目前尚无针对此漏洞的已知解决方案。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Stored Cross-site Scripting Vulnerability via Malicious File Names in GroupOffice
漏洞描述信息
Group-Office is an enterprise CRM and groupware tool. Affected versions are subject to a vulnerability which is present in the file upload mechanism of Group Office. It allows an attacker to execute arbitrary JavaScript code by embedding it within a file's name. For instance, using a filename such as “><img src=x onerror=prompt('XSS')>.jpg” triggers the vulnerability. When this file is uploaded, the JavaScript code within the filename is executed. This issue has been addressed in version 6.8.29. All users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Group Office CRM 跨站脚本漏洞
漏洞描述信息
Group Office CRM是一个应用软件。与同事和客户在线共享项目,日历,文件和电子邮件。易于使用且可完全自定义。 Group Office CRM 6.8.28版本存在跨站脚本漏洞,该漏洞源于Upload功能存在存储型跨站脚本(XSS)漏洞。
CVSS信息
N/A
漏洞类别
跨站脚本