製品・ソフトウェアに関する情報
Vulnerability Search
Open-Xchange OX AppSuite の content sanitizer コンポーネントにおけるクロスサイトスクリプティングの脆弱性
Title Open-Xchange OX AppSuite の content sanitizer コンポーネントにおけるクロスサイトスクリプティングの脆弱性
Summary

Open-Xchange OX App Suite の content sanitizer コンポーネントは、特定のコンテンツのフィルタリング時に非活性化されたコンテンツを出力するため、ユーザコンテキスト内で悪意のあるスクリプトコードを実行され、その結果、セッションハイジャックをされる、または予期せぬ動作 (メールの送信、データの削除など) を誘発される脆弱性が存在します。

Possible impacts 攻撃者により、不正な HTML コードが提供されることで、ユーザコンテキスト内で悪意のあるスクリプトコードを実行され、その結果、セッションハイジャックをされる、または Web インターフェースを介して、予期せぬ動作 (メールの送信、データの削除など) を誘発される脆弱性が存在します。
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date May 10, 2016, midnight
Registration Date Dec. 28, 2016, 11:38 a.m.
Last Update Dec. 28, 2016, 11:38 a.m.
CVSS3.0 : 警告
Score 6.1
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CVSS2.0 : 警告
Score 4.3
Vector AV:N/AC:M/Au:N/C:N/I:P/A:N
Affected System
Open-Xchange
OX App Suite 7.8.1-rev11 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2016年12月28日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2016-4026
Summary

An issue was discovered in Open-Xchange OX App Suite before 7.8.1-rev11. The content sanitizer component has an issue with filtering malicious content in case invalid HTML code is provided. In such cases the filter will output a unsanitized representation of the content. Malicious script code can be executed within a user's context. This can lead to session hijacking or triggering unwanted actions via the web interface (sending mail, deleting data etc.). Attackers can use this issue for filter evasion to inject script code later on.

Publication Date Dec. 15, 2016, 3:59 p.m.
Registration Date Jan. 26, 2021, 2:11 p.m.
Last Update Nov. 21, 2024, 11:51 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:open-xchange:open-xchange_appsuite:*:rev9:*:*:*:*:*:* 7.8.1
Related information, measures and tools
Common Vulnerabilities List