Se ha descubierto una vulnerabilidad en Novell GroupWise 6.5 que
puede ser explotada por usuarios maliciosos para realizar ataques
de inserción de scripts.
Novell GroupWise es un software de colaboración con funcionalidades
para uso de correo electrónico, calendarios, mensajería instantánea,
coordinación de tareas, control de documentación, etc.
La vulnerabilidad en sí se debe a la falta de robustez en el proceso
de filtrado de entradas usadas por el componente WebAccess. Esta
circunstancia puede ser explotada por atacantes para construir correos
electrónicos maliciosos que ejecutarían código HTML y scripts
arbitrarios en el navegador de la víctima al ser visualizados (en
el contexto de seguridad del sitio afectado).
La vulnerabilidad ha sido corregida en cualquier distribuición de
GroupWise 6.5 con fecha posterior al 11 de julio de este año, y
en GroupWise 6.5 WebAccess SP5 Field Test File revision D. Esta
corrección también será incluida en el Service Pack 5 del producto.
jcanto@hispasec.com
Más información:
FTF: GroupWise 6.5.5 WebAccess Rev D (NW/Win)
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2971890.htm
Cross-site scripting vulnerability in Webaccess
http://support.novell.com/cgi-bin/search/searchtid.cgi?/10098301.htm
Deja una respuesta