| タイトル | Open-Xchange OX AppSuite のフロントエンドにおけるユーザアカウントにアクセスされる脆弱性 |
|---|---|
| 概要 | Open-Xchange OX AppSuite のフロントエンドは、非対話型ログインを使用してログイン時、Cookie のセッション期間の設定が誤って認識されるため、ユーザが適切にセッションからログアウトしていなかった場合、同じクライアントへのアクセス権を持つサードパーティにより、ユーザアカウントにアクセスされる脆弱性が存在します。 |
| 想定される影響 | 同じクライアントへのアクセス権を持つサードパーティにより、ユーザアカウントにアクセスされる可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2016年6月20日0:00 |
| 登録日 | 2016年12月28日11:38 |
| 最終更新日 | 2016年12月28日11:38 |
| CVSS3.0 : 低 | |
| スコア | 3.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N |
| CVSS2.0 : 注意 | |
| スコア | 3.5 |
|---|---|
| ベクター | AV:N/AC:M/Au:S/C:P/I:N/A:N |
| Open-Xchange |
| OX App Suite 7.8.0-rev27 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2016年12月28日] 掲載 |
2018年2月17日10:37 |
| 概要 | An issue was discovered in Open-Xchange OX App Suite before 7.8.1-rev10. App Suite frontend offers to control whether a user wants to store cookies that exceed the session duration. This functionality is useful when logging in from clients with reduced privileges or shared environments. However the setting was incorrectly recognized and cookies were stored regardless of this setting when the login was performed using a non-interactive login method. In case the setting was enforced by middleware configuration or the user went through the interactive login page, the workflow was correct. Cookies with authentication information may become available to other users on shared environments. In case the user did not properly log out from the session, third parties with access to the same client can access a user's account. |
|---|---|
| 公表日 | 2016年12月15日15:59 |
| 登録日 | 2021年1月26日14:11 |
| 最終更新日 | 2024年11月21日11:51 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:open-xchange:open-xchange_appsuite:*:rev9:*:*:*:*:*:* | 7.8.1 | ||||