Vulnerabilidad de Cross-Site Scripting en Novell GroupWise
Se ha anunciado una vulnerabilidad en Novell GroupWise, que podría
permitir a atacantes remotos la construcción de ataques de cross-site
scripting.
Novell GroupWise es un software de colaboración con funcionalidades para
uso de correo electrónico, calendarios, mensajería instantánea,
coordinación de tareas, control de documentación, etc. WebAccess permite
el acceso a las funcionalidades de GroupWise a través de un cliente web.
El problema (con CVE-2013-1086) reside en que las entradas a la interfaz
WebAccess a través de atributo “onError” no son debidamente depuradas
antes de ser devueltas al usuario. Esto permite a usuarios remotos la
ejecución arbitraria de código script en el navegador del usuario. Con
ello el atacante podría acceder a las cookies (incluyendo las de
autenticación) y a información recientemente enviada, además de poder
realizar acciones en el sitio haciéndose pasar por la víctima.
La vulnerabilidad se ha confirmado en las versiones 8.03 HP2 (y
anteriores) y en las versiones 12.0.1 HP1 (y anteriores). Se recomienda
aplicar GroupWise 8.0.3 HP3 o GroupWise 2012 Support Pack 2.
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.