| タイトル | Open-Xchange Server 6 および OX AppSuite における信頼できるドメインのコンテキスト内で悪意のあるスクリプトが実行される脆弱性 |
|---|---|
| 概要 | Open-Xchange Server 6 および OX AppSuite には、信頼できるドメインのコンテキスト内で悪意のあるスクリプトが実行される脆弱性が存在します。 |
| 想定される影響 | ファイルダウンロードリクエストの "session" パラメータを介して、後続のステータスページを通して反映されるスクリプトコードを挿入され、その後信頼できるドメインのコンテキスト内で悪意のあるスクリプトが実行される可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2016年3月14日0:00 |
| 登録日 | 2016年12月27日17:35 |
| 最終更新日 | 2016年12月27日17:35 |
| CVSS3.0 : 警告 | |
| スコア | 6.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| CVSS2.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| Open-Xchange |
| OX App Suite 7.8.0-rev26 未満 |
| OX Server 6 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2016年12月27日] 掲載 |
2018年2月17日10:37 |
| 概要 | An issue was discovered in Open-Xchange Server 6 / OX AppSuite before 7.8.0-rev26. The "session" parameter for file-download requests can be used to inject script code that gets reflected through the subsequent status page. Malicious script code can be executed within a trusted domain's context. While no OX App Suite specific data can be manipulated, the vulnerability can be exploited without being authenticated and therefore used for social engineering attacks, stealing cookies or redirecting from trustworthy to malicious hosts. |
|---|---|
| 公表日 | 2016年12月15日15:59 |
| 登録日 | 2021年1月26日14:09 |
| 最終更新日 | 2024年11月21日11:48 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:open-xchange:open-xchange_appsuite:*:rev25:*:*:*:*:*:* | 7.8.0 | ||||