Open-Xchange OX App Suite におけるクロスサイトスクリプティングの脆弱性
| Title |
Open-Xchange OX App Suite におけるクロスサイトスクリプティングの脆弱性
|
| Summary |
Open-Xchange OX App Suite は、SVG ファイルをプロフィール写真として使用するため、ユーザコンテキスト内で悪意のあるコードを実行され、その結果、セッションハイジャックをされる、または予期せぬ動作 (メールの送信、データの削除など) を誘発される脆弱性が存在します。
|
| Possible impacts |
SVG ファイルの XML 構造に iframe および悪意のあるスクリプトコードを含んでいる場合、ブラウザ内の関連する画像 URL の呼び出し、または関連する人物の画像の閲覧を介して、ユーザコンテキスト内で当該コードを実行され、その結果、セッションハイジャックをされる、または Web インターフェースを介して、予期せぬ動作 (メールの送信、データの削除など) を誘発される可能性があります。 |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
Aug. 29, 2016, midnight |
| Registration Date |
Dec. 28, 2016, 11:38 a.m. |
| Last Update |
Dec. 28, 2016, 11:38 a.m. |
|
CVSS3.0 : 警告
|
| Score |
6.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
|
CVSS2.0 : 警告
|
| Score |
4.3
|
| Vector |
AV:N/AC:M/Au:N/C:N/I:P/A:N |
Affected System
| Open-Xchange |
|
OX App Suite 7.8.2-rev8 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2016年12月28日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2016-6850
| Summary |
An issue was discovered in Open-Xchange OX App Suite before 7.8.2-rev8. SVG files can be used as profile pictures. In case their XML structure contains iframes and script code, that code may get executed when calling the related picture URL or viewing the related person's image within a browser. Malicious script code can be executed within a user's context. This can lead to session hijacking or triggering unwanted actions via the web interface (sending mail, deleting data etc.).
|
| Publication Date |
Dec. 15, 2016, 3:59 p.m. |
| Registration Date |
Jan. 26, 2021, 2:16 p.m. |
| Last Update |
Nov. 21, 2024, 11:56 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:open-xchange:open-xchange_appsuite:*:rev4:*:*:*:*:*:* |
|
7.8.2 |
|
|
Related information, measures and tools
Common Vulnerabilities List