Open-Xchange Server 6 および OX AppSuite における信頼できるドメインのコンテキスト内で悪意のあるスクリプトが実行される脆弱性
| Title |
Open-Xchange Server 6 および OX AppSuite における信頼できるドメインのコンテキスト内で悪意のあるスクリプトが実行される脆弱性
|
| Summary |
Open-Xchange Server 6 および OX AppSuite には、信頼できるドメインのコンテキスト内で悪意のあるスクリプトが実行される脆弱性が存在します。
|
| Possible impacts |
ファイルダウンロードリクエストの "session" パラメータを介して、後続のステータスページを通して反映されるスクリプトコードを挿入され、その後信頼できるドメインのコンテキスト内で悪意のあるスクリプトが実行される可能性があります。 |
| Solution |
ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
March 14, 2016, midnight |
| Registration Date |
Dec. 27, 2016, 5:35 p.m. |
| Last Update |
Dec. 27, 2016, 5:35 p.m. |
|
CVSS3.0 : 警告
|
| Score |
6.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
|
CVSS2.0 : 警告
|
| Score |
4.3
|
| Vector |
AV:N/AC:M/Au:N/C:N/I:P/A:N |
Affected System
| Open-Xchange |
|
OX App Suite 7.8.0-rev26 未満
|
|
OX Server 6
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2016年12月27日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2016-2840
| Summary |
An issue was discovered in Open-Xchange Server 6 / OX AppSuite before 7.8.0-rev26. The "session" parameter for file-download requests can be used to inject script code that gets reflected through the subsequent status page. Malicious script code can be executed within a trusted domain's context. While no OX App Suite specific data can be manipulated, the vulnerability can be exploited without being authenticated and therefore used for social engineering attacks, stealing cookies or redirecting from trustworthy to malicious hosts.
|
| Publication Date |
Dec. 15, 2016, 3:59 p.m. |
| Registration Date |
Jan. 26, 2021, 2:09 p.m. |
| Last Update |
Nov. 21, 2024, 11:48 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:open-xchange:open-xchange_appsuite:*:rev25:*:*:*:*:*:* |
|
7.8.0 |
|
|
Related information, measures and tools
Common Vulnerabilities List