domingo, 25 de diciembre de 2016

Cross-Site scripting en Novell GroupWise

Se ha anunciado una vulnerabilidad en Novell GroupWise 2014, que podría permitir a atacantes remotos construir ataques de cross-site scripting.

Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc. En la actualidad Novell forma parte de Micro Focus.

El problema (con CVE-2016-9169) reside en la consola web de GroupWise Document Viewer Agent que podría permtir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Para resolver esta vulnerabilidad se recomienda aplicar GroupWise 2014 R2 Support Pack 1 Hot Patch 2 (o posterior).

Más información:

Security Vulnerability - Reflected Cross-site scripting (XSS) vulnerability in GroupWise Document Viewer Agent (DVA)



Antonio Ropero
Twitter: @aropero