Open-Xchange Server up to 7.2.0 跨站脚本攻击

CVE编号

CVE-2013-3106

利用情况

暂无

补丁情况

N/A

披露时间

2013-09-06

漏洞描述

Open-Xchange Server是部分开源的项目，主要开发协同软件，例如电子邮件、日历等。OX App Suite是一个集成云环境,可以帮助用户在任何设备上管理他们的电子邮件、任务、日程安排、文档等。 Open-Xchange Server/OX App Suite存在多跨站脚本漏洞： -该应用对在HTML组件中嵌入的VBS代码没有进行正确的过滤，可在OX6或AppSuite web接口上下文执行潜入的VBS代码。 -应用程序不正确处理HTML代码中的"object/data"实体，可导致在浏览器中执行恶意脚本代码，导致会话劫持或进行未授权操作。 -应用程序不正确处理URL调用中的content-type表头参数数据，可导致在浏览器中执行恶意脚本代码，导致会话劫持或进行未授权操作。 -调用使用UTF-16字符集的URL可存在一个输入验证漏洞，可导致在浏览器中执行恶意脚本代码，导致会话劫持或进行未授权操作。 -当使用"delivery=view"调用时没有正确过滤HTML内容中嵌入的脚本代码，可导致在浏览器中执行恶意脚本代码，导致会话劫持或进行未授权操作。

解决建议

Open-Xchange Server/OX App Suite 6.20.7-rev18, 6.22.0-rev16, 6.22.1-rev19, 7.0.1-rev7, 7.0.2-rev11, 7.2.0-rev8已经修复此漏洞，建议用户下载更新：http://software.open-xchange.com

参考链接
http://archives.neohapsis.com/archives/bugtraq/2013-06/0012.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	open-xchange	open-xchange_appsuite	6.20.7	-
	运行在以下环境
	应用	open-xchange	open-xchange_appsuite	6.22.0	-
	运行在以下环境
	应用	open-xchange	open-xchange_appsuite	6.22.1	-
	运行在以下环境
	应用	open-xchange	open-xchange_appsuite	7.0.1	-
	运行在以下环境
	应用	open-xchange	open-xchange_appsuite	7.0.2	-
	运行在以下环境
	应用	open-xchange	open-xchange_appsuite	7.2.0	-
	运行在以下环境
	应用	open-xchange	open-xchange_server	6.20.7	-
	运行在以下环境
	应用	open-xchange	open-xchange_server	6.22.0	-
	运行在以下环境
	应用	open-xchange	open-xchange_server	6.22.1	-
	运行在以下环境
	应用	open-xchange	open-xchange_server	7.0.1	-
	运行在以下环境
	应用	open-xchange	open-xchange_server	7.0.2	-
	运行在以下环境
	应用	open-xchange	open-xchange_server	7.2.0	-

CVSS3评分 4.3

• 攻击路径 网络
• 攻击复杂度 N/A
• 权限要求 无
• 影响范围 N/A
• 用户交互 需要
• 可用性 无
• 保密性 无
• 完整性 部分地

AV:N/AC:M/Au:N/C:N/I:P/A:N

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

- avd.aliyun.com