sábado, 19 de septiembre de 2009

Vulnerabilidad de Cross Site Scripting en Novell GroupWise

Se ha confirmado una vulnerabilidad en Novell GroupWise versiones 7.03 y 8.0.0 que podría permitir a un atacante ejecutar ataques de Cross Site Scripting.

Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc.

El problema reside en un error de validación de entradas al procesar el parámetro "User.Theme.index". Un atacante podría explotar este problema para lograr la ejecución de código script arbitrario en el navegador del usuario en el contexto de seguridad del sitio afectado.

Se recomienda actualizar a Novell GroupWise v7.03 Hot Patch 4 (HP4) o v8.0 Support Pack 1 (SP1) o posteriores.


Antonio Ropero
antonior@hispasec.com


Más información:

GroupWise WebAccess - Cross Site Scripting (XSS) Security Vulnerability in User.Theme.index parameter
http://www.novell.com/support/viewContent.do?externalId=7004410&sliceId=1

No hay comentarios:

Publicar un comentario en la entrada