製品・ソフトウェアに関する情報

JVN脆弱性詳細

Open-Xchange OX AppSuite の Portal のタイルのラベルにおけるクロスサイトスクリプティングの脆弱性

Title	Open-Xchange OX AppSuite の Portal のタイルのラベルにおけるクロスサイトスクリプティングの脆弱性
Summary	Open-Xchange OX AppSuite は、Portal アプリケーションで表示されるファイル名を使用する Portal のタイルの aria-label パラメータにスクリプトコードを挿入できるため、ユーザコンテキスト内で悪意のあるスクリプトコードを実行され、その結果、セッションハイジャックをされる、または予期せぬ動作 (メールの送信、データの削除など) を誘発される脆弱性が存在します。
Possible impacts	攻撃者により、ファイル名にスクリプトコードを使用されることで、ユーザコンテキスト内で悪意のあるスクリプトコードを実行され、その結果、セッションハイジャックをされる、または Web インターフェースを介して、予期せぬ動作 (メールの送信、データの削除など) を誘発される脆弱性が存在します。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	March 29, 2016, midnight
Registration Date	Dec. 28, 2016, 11:38 a.m.
Last Update	Dec. 28, 2016, 11:38 a.m.

Affected System

Open-Xchange

OX App Suite 7.8.0-rev27 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-3173	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3173
National Vulnerability Database (NVD)
2	CVE-2016-3173	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3173

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Open-Xchange
1	OX Knowledge Base	http://knowledgebase.open-xchange.com/start.html

その他

No	Name	URL
関連文書
1	Open-Xchange OX AppSuite 7.8.0 XSS / Open Redirect	https://packetstormsecurity.com/files/137187/Open-Xchange-OX-AppSuite-7.8.0-XSS-Open-Redirect.html
2	Open-Xchange Security Advisory 2016-05-25	http://www.securityfocus.com/archive/1/archive/1/538481/100/0/threaded

Change Log

No	Changed Details	Date of change
0	[2016年12月28日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-3173

Summary	An issue was discovered in Open-Xchange OX AppSuite before 7.8.0-rev27. The aria-label parameter of tiles at the Portal can be used to inject script code. Those labels use the name of the file (e.g. an image) which gets displayed at the portal application. Using script code at the file name leads to script execution. Malicious script code can be executed within a user's context. This can lead to session hijacking or triggering unwanted actions via the web interface (sending mail, deleting data etc.). Users actively need to add a file to the portal to enable this attack. In case of shared files however, a internal attacker may modify a previously embedded file to carry a malicious file name. Furthermore this vulnerability can be used to persistently execute code that got injected by a temporary script execution vulnerability.
Publication Date	Dec. 15, 2016, 3:59 p.m.
Registration Date	Jan. 26, 2021, 2:10 p.m.
Last Update	Nov. 21, 2024, 11:49 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:open-xchange:open-xchange_appsuite::rev26::::::*			7.8.0

Related information, measures and tools

No	URL	タグ
1	http://packetstormsecurity.com/files/137187/Open-Xchange-OX-AppSuite-7.8.0-XSS-Open-Redirect.html	Third Party Advisory VDB Entry
2	http://packetstormsecurity.com/files/137187/Open-Xchange-OX-AppSuite-7.8.0-XSS-Open-Redirect.html	Third Party Advisory VDB Entry
3	http://www.securityfocus.com/archive/1/538481/100/0/threaded
4	http://www.securityfocus.com/archive/1/538481/100/0/threaded

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html