Boletines de Vulnerabilidades |
Vulnerabilidad de Cross-Site Scripting en Novell GroupWise |
|
Información sobre el sistema |
|
Software afectado |
Versiones 8.03 HP2 (y anteriores) Versiones 12.0.1 HP1 (y anteriores) |
Descripción |
|
Se ha anunciado una vulnerabilidad en Novell GroupWise, que podría permitir a atacantes remotos la construcción de ataques de cross-site scripting. Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc. WebAccess permite el acceso a las funcionalidades de GroupWise a través de un cliente web. El problema (con CVE-2013-1086) reside en que las entradas a la interfaz WebAccess a través de atributo "onError" no son debidamente depuradas antes de ser devueltas al usuario. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima. |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2013-1086 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso remitido | 2013-04-22 |