Novell GroupWise es un software
de colaboración con funcionalidades para uso de correo electrónico,
calendarios, mensajería instantánea, coordinación de tareas, control de
documentación, etc. WebAccess permite el acceso a las funcionalidades de GroupWise
a través de un cliente web.
El problema (identificado con el CVE-2012-0410)
reside en que Novell GroupWise WebAccess no valida adecuadamente las entradas
del usuario en el parámetro "User.interface".
Un usuario remoto podrá crear una petición específicamente modificada que
permita visualizar cualquier archivo del sistema atacado bajo la estructura de
directorio de WebAccess.
Novell ha publicado la
actualización a Novell GroupWise WebAccess 8.0 Support Pack 3 que corrige este
problema. GroupWise 2012 no se ve afectado por esta vulnerabilidad.
Más información:
Security Vulnerability - GroupWise WebAccess
Directory Traversal Vulnerability in 'User.interface' parameter
Antonio Ropero
No hay comentarios:
Publicar un comentario